이 페이지는 Cloud Translation API를 통해 번역되었습니다.

서비스 구성

키 액세스 제어 목록 서비스 (KACLS)가 Google의 개입 없이 구성되었습니다. 다음은 서비스를 구성하기 위한 일반적인 설정 및 권장사항에 관한 세부정보입니다.

운영 설정

API는 유효한 X.509 인증서와 함께 TLS 1.2 이상을 사용하는 HTTPS를 통해서만 사용할 수 있어야 합니다.
API 서버는 CORS를 처리하여 Google의 승인된 엔드포인트인 https://client-side-encryption.google.com에 액세스해야 합니다.
99% 의 요청에 대해 최대 지연 시간 200밀리초를 권장합니다.

아래 설정을 사용하여 클라이언트 측 암호화 (CSE) 중에 Google에서 발급한 승인 토큰을 확인합니다.

Google Workspace 애플리케이션 컨텍스트	JWKS 엔드포인트 URL	승인 토큰 발급기관	승인 토큰 사용 대상
Google Drive 및 Docs, Sheets와 같은 공동작업 콘텐츠 제작 도구	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
Meet CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
Calendar CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS 이전	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

서비스에서 사용하는 Google 이외의 ID 공급업체 (IdP)마다 아래 설정이 필요합니다.

Google Workspace 클라이언트 측 암호화 (CSE)의 경계 개념은 KACLS를 통해 암호화 키에 대한 액세스 제어를 제공하는 데 사용됩니다. 경계는 KACLS 내의 인증 및 승인 토큰에 대해 수행되는 선택적 추가 검사입니다.

경계를 사용하면 다음 작업을 할 수 있습니다.

허용 목록에 있는 도메인의 사용자만 키를 복호화하도록 허용합니다.
Google Workspace 관리자와 같은 사용자를 차단 목록에 추가합니다.
고급 제한사항을 제공합니다. 예를 들면 다음과 같습니다.
- 대기 중인 직원 또는 휴가 중인 사용자를 위한 시간 기반 제한
- 특정 위치 또는 네트워크에서의 액세스를 차단하는 위치정보 제한
- ID 공급자가 주장하는 사용자 역할 또는 유형 기반 액세스

KACLS가 활성 상태이고 올바르게 구성되었는지 확인하려면 status 요청을 전송합니다. KMS 액세스 가능성 또는 로깅 시스템 상태와 같은 내부 자체 검사도 실행할 수 있습니다.