Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Votre service de liste de contrôle d'accès aux clés (KACLS) est configuré sans l'intervention de Google. Vous trouverez ci-dessous des informations sur les paramètres courants et les bonnes pratiques pour configurer votre service.
Paramètres opérationnels
L'API ne doit être disponible que via HTTPS avec TLS 1.2 ou version ultérieure et un certificat X.509 valide.
Le serveur d'API doit gérer CORS pour accéder au point de terminaison autorisé de Google : https://client-side-encryption.google.com.
Nous recommandons une latence maximale de 200 ms pour 99 % des requêtes.
Paramètres du fournisseur d'autorisation
Utilisez les paramètres ci-dessous pour valider les jetons d'autorisation émis par Google lors du chiffrement côté client (CSE) :
Contexte des applications Google Workspace
URL du point de terminaison JWKS
Émetteur de jeton d'autorisation
Audience du jeton d'autorisation
Google Drive et les outils de création collaborative de contenus, comme Docs et Sheets
Les paramètres ci-dessous sont requis pour chaque fournisseur d'identité (IdP) non Google avec lequel votre service fonctionne :
Méthode de validation des jetons. Les jetons sont généralement validés par l'URL d'un fichier JSON Web Key Set (JWKS), mais il peut également s'agir des clés publiques elles-mêmes.
Valeurs de l'émetteur et de l'audience : valeurs des champs iss (émetteur) et aud (audience) utilisées par chaque fournisseur d'identité.
Paramètres du périmètre
Dans le chiffrement côté client Google Workspace (CSE, Client-Side Encryption), le concept de périmètre est utilisé pour contrôler l'accès aux clés de chiffrement via les KACLS. Les périmètres sont des vérifications supplémentaires facultatives effectuées sur les jetons d'authentification et d'autorisation dans KACLS.
Les périmètres peuvent être utilisés pour :
Autorisez uniquement les utilisateurs des domaines de la liste d'autorisation à déchiffrer les clés.
Ajoutez des utilisateurs à la liste de blocage, comme les administrateurs Google Workspace.
Ajoutez des restrictions avancées. Exemple :
Restrictions temporelles pour les employés de garde ou en vacances
Restrictions de géolocalisation pour empêcher l'accès depuis des zones ou des réseaux spécifiques
Accès basé sur le rôle ou le type d'utilisateur, tel qu'affirmé par un fournisseur d'identité
Vérifier votre configuration KACLS
Pour vérifier si votre KACLS est actif et correctement configuré, envoyez une requête status. Des auto-vérifications internes peuvent également être effectuées, comme l'accessibilité KMS ou l'état du système de journalisation.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/29 (UTC).
[null,null,["Dernière mise à jour le 2025/08/29 (UTC)."],[[["\u003cp\u003eYour Key Access Control List Service (KACLS) is configured independently by you, allowing you to control access to encryption keys for Google Workspace Client-side encryption (CSE).\u003c/p\u003e\n"],["\u003cp\u003eKACLS requires specific operational settings like HTTPS with TLS 1.2 or later, CORS handling for Google's authorized endpoint, and a recommended latency of under 200ms for most requests.\u003c/p\u003e\n"],["\u003cp\u003eAuthorization settings need to be configured for Google Workspace applications like Drive, Meet, Calendar, and Gmail, enabling validation of Google-issued authorization tokens during CSE.\u003c/p\u003e\n"],["\u003cp\u003ePerimeter settings offer optional but powerful access control by allowing or blocking users based on criteria like domains, user roles, time, and location, enhancing security for encryption keys.\u003c/p\u003e\n"],["\u003cp\u003eIdentity Provider settings are crucial for non-Google Identity Providers, requiring you to specify methods for validating tokens and the issuer and audience values used by each provider.\u003c/p\u003e\n"]]],["KACLS configuration requires the API to use HTTPS with TLS 1.2 or later, handle CORS for `https://client-side-encryption.google.com`, and maintain a maximum 200ms latency. It uses Google-issued authorization tokens, validated via JWKS endpoints specific to Google Workspace applications. Non-Google Identity Provider settings require token validation methods, issuer, and audience values. Perimeters, an optional access control, can allow or block access based on domain, user, time, or location. Verification is done via a status request.\n"],null,["# Configure your service\n\nYour Key Access Control List Service (KACLS) is configured without Google's\ninvolvement. Below are details about common settings and best practices for\nconfiguring your service.\n\nOperational settings\n--------------------\n\n- The API should only be available over HTTPS with TLS 1.2 or later with a valid\n X.509 certificate.\n\n- The API server should handle [CORS](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS)\n to access Google's authorized end-point: `https://client-side-encryption.google.com`.\n\n- We recommend a maximum latency of 200 ms for 99% of requests.\n\nAuthorization provider settings\n-------------------------------\n\nUse the settings below to validate the Google-issued\n[authorization tokens](/workspace/cse/reference/authorization-tokens) during\nclient-side encryption (CSE):\n\n| Google Workspace application context | JWKS endpoint URL | Authorization token issuer | Authorization token audience |\n|---------------------------------------------------------------------------------|----------------------------------------------------------------------------------------------------------------------|-------------------------------------------------------------------|------------------------------|\n| **Google Drive and collaborative content creation tools, like Docs and Sheets** | `https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com` | `gsuitecse-tokenissuer-drive@system.gserviceaccount.com` | `cse-authorization` |\n| **Meet CSE** | `https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com` | `gsuitecse-tokenissuer-meet@system.gserviceaccount.com` | `cse-authorization` |\n| **Calendar CSE** | `https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com` | `gsuitecse-tokenissuer-calendar@system.gserviceaccount.com` | `cse-authorization` |\n| **Gmail CSE** | `https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com` | `gsuitecse-tokenissuer-gmail@system.gserviceaccount.com` | `cse-authorization` |\n| **KACLS migration** | `https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com` | `apps-security-cse-kaclscommunication@system.gserviceaccount.com` | `cse-authorization` |\n\nIdentity Provider settings\n--------------------------\n\nThe settings below are required for each non-Google Identity Provider (IdP) your\nservice works with:\n\n- **Method to validate tokens.** Tokens are typically validated by the URL to a JSON Web Key Set (JWKS) file, but could also be the public keys themselves.\n- **Issuer and audience values:** The `iss` (issuer) and `aud` (audience) field values used by each Identity Provider.\n\nPerimeter settings\n------------------\n\nThe perimeter concept in Google Workspace Client-side encryption (CSE) is used\nto provide access control to the encryption keys via the KACLS. The perimeters\nare optional additional checks performed on the authentication and authorization\ntokens within the KACLS.\n\nPerimeters can be used to:\n\n- Only allow users in allowlisted domains to decrypt keys.\n- Blocklist users, such as Google Workspace administrators.\n- Provide advanced restrictions. For example:\n - Time-based restrictions for on-call employees or people on vacation\n - Geolocation restrictions to prevent access from specific locations or networks\n - User role- or type-based access, as asserted by an Identity Provider\n\n| **Note:** The takeout perimeter is used when a Google Workspace customer sends a [Google Takeout](https://support.google.com/a/answer/100458) request with [`takeout_unwrap`](/workspace/cse/reference/takeout_unwrap). The takeout perimeter enables KACLS unwrapping, bypassing the normal Google Workspace ACL, so membership should be restricted to trusted individuals. We recommend that the takeout perimeter use an IdP requiring two-factor authentication (2FA).\n\nVerify your KACLS configuration\n-------------------------------\n\nTo check whether your KACLS is active and configured correctly, send a\n[`status`](/workspace/cse/reference/status) request. Internal self checks,\nlike KMS accessibility or logging system health, can also be performed."]]
