Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi layanan Anda

Layanan Daftar Kontrol Akses Kunci (KACLS) Anda dikonfigurasi tanpa melibatkan Google. Berikut adalah detail tentang setelan umum dan praktik terbaik untuk mengonfigurasi layanan Anda.

Setelan operasional

API hanya boleh tersedia melalui HTTPS dengan TLS 1.2 atau yang lebih baru dengan sertifikat X.509 yang valid.
Server API harus menangani CORS untuk mengakses endpoint resmi Google: https://client-side-encryption.google.com.
Sebaiknya gunakan latensi maksimum 200 md untuk 99% permintaan.

Setelan penyedia otorisasi

Gunakan setelan di bawah untuk memvalidasi token otorisasi yang dikeluarkan Google selama enkripsi sisi klien (CSE):

Konteks aplikasi Google Workspace	URL endpoint JWKS	Penerbit token otorisasi	Audiens token otorisasi
Google Drive dan alat pembuatan konten kolaboratif, seperti Dokumen dan Spreadsheet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
CSE Meet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
CSE Kalender	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
CSE Gmail	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
Migrasi KACLS	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

Setelan Penyedia Identitas

Setelan di bawah ini diperlukan untuk setiap Penyedia Identitas (IdP) non-Google yang digunakan layanan Anda:

Metode untuk memvalidasi token. Token biasanya divalidasi oleh URL ke file JSON Web Key Set (JWKS), tetapi juga dapat berupa kunci publik itu sendiri.
Nilai penerbit dan audiens: Nilai kolom iss (penerbit) dan aud (audiens) yang digunakan oleh setiap Penyedia Identitas.

Setelan perimeter

Konsep perimeter di Enkripsi sisi klien (CSE) Google Workspace digunakan untuk memberikan kontrol akses ke kunci enkripsi melalui KACLS. Perimeter adalah pemeriksaan tambahan opsional yang dilakukan pada token autentikasi dan otorisasi dalam KACLS.

Perimeter dapat digunakan untuk:

Hanya izinkan pengguna di domain yang diizinkan untuk mendekripsi kunci.
Menambahkan pengguna ke daftar blokir, seperti administrator Google Workspace.
Memberikan batasan lanjutan. Misalnya:
- Pembatasan berbasis waktu untuk karyawan yang siap dihubungi atau orang yang sedang berlibur
- Pembatasan geolokasi untuk mencegah akses dari lokasi atau jaringan tertentu
- Akses berbasis peran atau jenis pengguna, seperti yang dinyatakan oleh Penyedia Identitas

Memverifikasi konfigurasi KACLS

Untuk memeriksa apakah KACLS Anda aktif dan dikonfigurasi dengan benar, kirim permintaan status. Pemeriksaan mandiri internal, seperti aksesibilitas KMS atau kesehatan sistem logging, juga dapat dilakukan.