このページは Cloud Translation API によって翻訳されました。

サービスを構成する

鍵アクセス制御リストサービス（KACLS）は、Google の関与なしで構成されます。以下に、サービスを構成するための一般的な設定とベストプラクティスの詳細を示します。

運用設定

API は、有効な X.509 証明書を使用して TLS 1.2 以降の HTTPS 経由でのみ利用可能にする必要があります。
API サーバーは、Google の承認済みエンドポイント https://client-side-encryption.google.com にアクセスするために CORS を処理する必要があります。
リクエストの 99% の最大レイテンシは 200 ミリ秒にすることをおすすめします。

クライアントサイド暗号化（CSE）中に Google 発行の認証トークンを検証するには、次の設定を使用します。

Google Workspace アプリケーションのコンテキスト	JWKS エンドポイント URL	認証トークン発行者	認証トークンのオーディエンス
Google ドライブ、コンテンツの共同作成ツール（ドキュメント、スプレッドシートなど）	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
Meet CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
カレンダーの CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS の移行	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

サービスが連携する Google 以外の ID プロバイダ（IdP）ごとに、次の設定が必要です。

トークンを検証するメソッド。通常、トークンは JSON ウェブキーセット（JWKS）ファイルへの URL によって検証されますが、公開鍵自体である場合もあります。
発行者とオーディエンスの値: 各 ID プロバイダで使用される iss（発行者）フィールドと aud（オーディエンス）フィールドの値。

Google Workspace クライアントサイド暗号化（CSE）の境界の概念は、KACLS を介して暗号鍵へのアクセス制御を提供するために使用されます。境界は、KACLS 内の認証トークンと認可トークンに対して実行されるオプションの追加チェックです。

境界は次の目的で使用できます。

許可リスト登録済みドメインのユーザーのみが鍵を復号できるようにします。
Google Workspace 管理者などのユーザーをブロックリストに登録します。
高度な制限を指定します。例:
- オンコール中の従業員や休暇中の従業員に対する時間ベースの制限
- 特定の場所やネットワークからのアクセスを禁止する地理位置情報制限
- ID プロバイダによってアサートされたユーザーロールまたはタイプベースのアクセス

KACLS が有効で、正しく構成されているかどうかを確認するには、status リクエストを送信します。KMS のアクセシビリティやロギングシステムの健全性などの内部セルフチェックも実行できます。