Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Tu servicio de lista de control de acceso a las claves (KACLS) se configura sin la participación de Google. A continuación, se incluyen detalles sobre la configuración común y las prácticas recomendadas para configurar tu servicio.
Configuración operativa
La API solo debe estar disponible a través de HTTPS con TLS 1.2 o posterior con un certificado X.509 válido.
El servidor de la API debe controlar CORS para acceder al extremo autorizado de Google: https://client-side-encryption.google.com.
Recomendamos una latencia máxima de 200 ms para el 99% de las solicitudes.
Configuración del proveedor de autorización
Usa la siguiente configuración para validar los tokens de autorización emitidos por Google durante la encriptación del cliente (CSE):
Contexto de la aplicación de Google Workspace
URL del extremo de JWKS
Emisor del token de autorización
Público del token de autorización
Google Drive y herramientas de creación de contenido colaborativo, como Documentos y Hojas de cálculo
La siguiente configuración es obligatoria para cada proveedor de identidad (IdP) que no sea de Google con el que funciona tu servicio:
Método para validar tokens. Por lo general, los tokens se validan con la URL de un archivo de conjunto de claves web JSON (JWKS), pero también podrían ser las claves públicas en sí.
Valores de emisor y público: Son los valores de los campos iss (emisor) y aud (público) que usa cada proveedor de identidad.
Configuración del perímetro
El concepto de perímetro en la encriptación del cliente (CSE) de Google Workspace se usa para proporcionar control de acceso a las claves de encriptación a través de las KACLS. Los perímetros son verificaciones adicionales opcionales que se realizan en los tokens de autenticación y autorización dentro del KACLS.
Los perímetros se pueden usar para lo siguiente:
Solo permitir que los usuarios de los dominios incluidos en la lista de entidades permitidas desencripten claves
Usuarios de la lista de bloqueo, como los administradores de Google Workspace
Proporcionar restricciones avanzadas Por ejemplo:
Restricciones basadas en el tiempo para empleados de guardia o personas de vacaciones
Restricciones de ubicación geográfica para impedir el acceso desde ubicaciones o redes específicas
Acceso basado en el rol o el tipo de usuario, según lo afirma un proveedor de identidad
Verifica tu configuración de KACLS
Para verificar si tu KACLS está activo y configurado correctamente, envía una solicitud status. También se pueden realizar verificaciones internas, como la accesibilidad al KMS o el estado del sistema de registro.
[null,null,["Última actualización: 2025-08-29 (UTC)"],[[["\u003cp\u003eYour Key Access Control List Service (KACLS) is configured independently by you, allowing you to control access to encryption keys for Google Workspace Client-side encryption (CSE).\u003c/p\u003e\n"],["\u003cp\u003eKACLS requires specific operational settings like HTTPS with TLS 1.2 or later, CORS handling for Google's authorized endpoint, and a recommended latency of under 200ms for most requests.\u003c/p\u003e\n"],["\u003cp\u003eAuthorization settings need to be configured for Google Workspace applications like Drive, Meet, Calendar, and Gmail, enabling validation of Google-issued authorization tokens during CSE.\u003c/p\u003e\n"],["\u003cp\u003ePerimeter settings offer optional but powerful access control by allowing or blocking users based on criteria like domains, user roles, time, and location, enhancing security for encryption keys.\u003c/p\u003e\n"],["\u003cp\u003eIdentity Provider settings are crucial for non-Google Identity Providers, requiring you to specify methods for validating tokens and the issuer and audience values used by each provider.\u003c/p\u003e\n"]]],["KACLS configuration requires the API to use HTTPS with TLS 1.2 or later, handle CORS for `https://client-side-encryption.google.com`, and maintain a maximum 200ms latency. It uses Google-issued authorization tokens, validated via JWKS endpoints specific to Google Workspace applications. Non-Google Identity Provider settings require token validation methods, issuer, and audience values. Perimeters, an optional access control, can allow or block access based on domain, user, time, or location. Verification is done via a status request.\n"],null,["# Configure your service\n\nYour Key Access Control List Service (KACLS) is configured without Google's\ninvolvement. Below are details about common settings and best practices for\nconfiguring your service.\n\nOperational settings\n--------------------\n\n- The API should only be available over HTTPS with TLS 1.2 or later with a valid\n X.509 certificate.\n\n- The API server should handle [CORS](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS)\n to access Google's authorized end-point: `https://client-side-encryption.google.com`.\n\n- We recommend a maximum latency of 200 ms for 99% of requests.\n\nAuthorization provider settings\n-------------------------------\n\nUse the settings below to validate the Google-issued\n[authorization tokens](/workspace/cse/reference/authorization-tokens) during\nclient-side encryption (CSE):\n\n| Google Workspace application context | JWKS endpoint URL | Authorization token issuer | Authorization token audience |\n|---------------------------------------------------------------------------------|----------------------------------------------------------------------------------------------------------------------|-------------------------------------------------------------------|------------------------------|\n| **Google Drive and collaborative content creation tools, like Docs and Sheets** | `https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com` | `gsuitecse-tokenissuer-drive@system.gserviceaccount.com` | `cse-authorization` |\n| **Meet CSE** | `https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com` | `gsuitecse-tokenissuer-meet@system.gserviceaccount.com` | `cse-authorization` |\n| **Calendar CSE** | `https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com` | `gsuitecse-tokenissuer-calendar@system.gserviceaccount.com` | `cse-authorization` |\n| **Gmail CSE** | `https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com` | `gsuitecse-tokenissuer-gmail@system.gserviceaccount.com` | `cse-authorization` |\n| **KACLS migration** | `https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com` | `apps-security-cse-kaclscommunication@system.gserviceaccount.com` | `cse-authorization` |\n\nIdentity Provider settings\n--------------------------\n\nThe settings below are required for each non-Google Identity Provider (IdP) your\nservice works with:\n\n- **Method to validate tokens.** Tokens are typically validated by the URL to a JSON Web Key Set (JWKS) file, but could also be the public keys themselves.\n- **Issuer and audience values:** The `iss` (issuer) and `aud` (audience) field values used by each Identity Provider.\n\nPerimeter settings\n------------------\n\nThe perimeter concept in Google Workspace Client-side encryption (CSE) is used\nto provide access control to the encryption keys via the KACLS. The perimeters\nare optional additional checks performed on the authentication and authorization\ntokens within the KACLS.\n\nPerimeters can be used to:\n\n- Only allow users in allowlisted domains to decrypt keys.\n- Blocklist users, such as Google Workspace administrators.\n- Provide advanced restrictions. For example:\n - Time-based restrictions for on-call employees or people on vacation\n - Geolocation restrictions to prevent access from specific locations or networks\n - User role- or type-based access, as asserted by an Identity Provider\n\n| **Note:** The takeout perimeter is used when a Google Workspace customer sends a [Google Takeout](https://support.google.com/a/answer/100458) request with [`takeout_unwrap`](/workspace/cse/reference/takeout_unwrap). The takeout perimeter enables KACLS unwrapping, bypassing the normal Google Workspace ACL, so membership should be restricted to trusted individuals. We recommend that the takeout perimeter use an IdP requiring two-factor authentication (2FA).\n\nVerify your KACLS configuration\n-------------------------------\n\nTo check whether your KACLS is active and configured correctly, send a\n[`status`](/workspace/cse/reference/status) request. Internal self checks,\nlike KMS accessibility or logging system health, can also be performed."]]
