鍵アクセス制御リスト サービス(KACLS)は、Google の関与なしで構成されます。以下に、サービスを構成するための一般的な設定とベスト プラクティスの詳細を示します。
運用設定
API は、有効な X.509 証明書を使用して TLS 1.2 以降の HTTPS 経由でのみ利用可能にする必要があります。
API サーバーは、Google の承認済みエンドポイント
https://client-side-encryption.google.comにアクセスするために CORS を処理する必要があります。リクエストの 99% の最大レイテンシは 200 ミリ秒にすることをおすすめします。
認証プロバイダの設定
クライアントサイド暗号化(CSE)中に Google 発行の認証トークンを検証するには、次の設定を使用します。
| Google Workspace アプリケーションのコンテキスト | JWKS エンドポイント URL | 認証トークン発行者 | 認証トークンのオーディエンス |
|---|---|---|---|
| Google ドライブ、コンテンツの共同作成ツール(ドキュメント、スプレッドシートなど) | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
gsuitecse-tokenissuer-drive@system.gserviceaccount.com |
cse-authorization |
| Meet CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
gsuitecse-tokenissuer-meet@system.gserviceaccount.com |
cse-authorization |
| カレンダーの CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
gsuitecse-tokenissuer-calendar@system.gserviceaccount.com |
cse-authorization |
| Gmail CSE | https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
gsuitecse-tokenissuer-gmail@system.gserviceaccount.com |
cse-authorization |
| KACLS の移行 | https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com |
apps-security-cse-kaclscommunication@system.gserviceaccount.com |
cse-authorization |
ID プロバイダの設定
サービスが連携する Google 以外の ID プロバイダ(IdP)ごとに、次の設定が必要です。
- トークンを検証するメソッド。通常、トークンは JSON ウェブキー セット(JWKS)ファイルへの URL によって検証されますが、公開鍵自体である場合もあります。
- 発行者とオーディエンスの値: 各 ID プロバイダで使用される
iss(発行者)フィールドとaud(オーディエンス)フィールドの値。
境界の設定
Google Workspace クライアントサイド暗号化(CSE)の境界の概念は、KACLS を介して暗号鍵へのアクセス制御を提供するために使用されます。境界は、KACLS 内の認証トークンと認可トークンに対して実行されるオプションの追加チェックです。
境界は次の目的で使用できます。
- 許可リスト登録済みドメインのユーザーのみが鍵を復号できるようにします。
- Google Workspace 管理者などのユーザーをブロックリストに登録します。
- 高度な制限を指定します。例:
- オンコール中の従業員や休暇中の従業員に対する時間ベースの制限
- 特定の場所やネットワークからのアクセスを禁止する地理位置情報制限
- ID プロバイダによってアサートされたユーザーロールまたはタイプベースのアクセス
KACLS 構成を確認する
KACLS が有効で、正しく構成されているかどうかを確認するには、status リクエストを送信します。KMS のアクセシビリティやロギング システムの健全性などの内部セルフチェックも実行できます。