Diese Seite wurde von der Cloud Translation API übersetzt.

Dienst konfigurieren

Ihr Key Access Control List Service (KACLS) wird ohne Beteiligung von Google konfiguriert. Unten finden Sie Details zu gängigen Einstellungen und Best Practices für die Konfiguration Ihres Dienstes.

Betriebseinstellungen

Die API sollte nur über HTTPS mit TLS 1.2 oder höher mit einem gültigen X.509-Zertifikat verfügbar sein.
Der API-Server sollte CORS verarbeiten, um auf den autorisierten Endpunkt von Google zuzugreifen: https://client-side-encryption.google.com.
Wir empfehlen eine maximale Latenz von 200 ms für 99% der Anfragen.

Einstellungen für Autorisierungsanbieter

Verwenden Sie die folgenden Einstellungen, um die von Google ausgestellten Autorisierungstokens während der clientseitigen Verschlüsselung (Client-Side Encryption, CSE) zu validieren:

Google Workspace-Anwendungskontext	JWKS-Endpunkt-URL	Aussteller des Autorisierungstokens	Zielgruppe des Autorisierungstokens
Google Drive und Tools für das gemeinsame Erstellen von Inhalten wie Google Docs und Google Sheets	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
Clientseitige Verschlüsselung in Meet	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
Clientseitige Verschlüsselung in Google Kalender	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS-Migration	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

Einstellungen für Identitätsanbieter

Die folgenden Einstellungen sind für jeden Nicht-Google-Identitätsanbieter (IdP) erforderlich, mit dem Ihr Dienst zusammenarbeitet:

Methode zum Validieren von Tokens. Tokens werden in der Regel anhand der URL zu einer JWKS-Datei (JSON Web Key Set) validiert, können aber auch die öffentlichen Schlüssel selbst sein.
Aussteller- und Zielgruppenwerte:Die Feldwerte iss (Aussteller) und aud (Zielgruppe), die von den einzelnen Identitätsanbietern verwendet werden.

Perimetereinstellungen

Das Perimeter-Konzept in der clientseitigen Verschlüsselung von Google Workspace (CSE) wird verwendet, um den Zugriff auf die Verschlüsselungsschlüssel über die KACLS zu steuern. Die Perimeters sind optionale zusätzliche Prüfungen, die für die Authentifizierungs- und Autorisierungstokens im KACLS durchgeführt werden.

Perimeter können für Folgendes verwendet werden:

Nur Nutzern in Domains auf der Zulassungsliste erlauben, Schlüssel zu entschlüsseln
Nutzer auf die Sperrliste setzen, z. B. Google Workspace-Administratoren.
Erweiterte Einschränkungen festlegen Beispiel:
- Zeitbasierte Einschränkungen für Mitarbeiter mit Rufbereitschaft oder Mitarbeiter im Urlaub
- Einschränkungen für die Standortbestimmung, um den Zugriff von bestimmten Standorten oder Netzwerken aus zu verhindern
- Rollen- oder typbasierter Zugriff, wie von einem Identitätsanbieter bestätigt

KACLS-Konfiguration überprüfen

Wenn Sie prüfen möchten, ob Ihr KACLS aktiv und richtig konfiguriert ist, senden Sie eine status-Anfrage. Es können auch interne Selbsttests durchgeführt werden, z. B. zur KMS-Verfügbarkeit oder zur Systemdiagnose des Logging-Systems.