이 페이지는 Cloud Translation API를 통해 번역되었습니다.

서비스 구성

키 액세스 제어 목록 서비스 (KACLS)는 Google의 참여 없이 구성됩니다. 다음은 서비스를 구성하기 위한 일반적인 설정 및 권장사항에 관한 세부정보입니다.

운영 설정

API는 유효한 X.509 인증서가 있는 TLS 1.2 이상의 HTTPS를 통해서만 사용할 수 있어야 합니다.
API 서버는 Google의 승인된 엔드포인트인 https://client-side-encryption.google.com에 액세스하기 위해 CORS를 처리해야 합니다.
요청의 99% 에 대해 최대 지연 시간을 200ms로 설정하는 것이 좋습니다.

클라이언트 측 암호화 (CSE) 중에 Google에서 발급한 승인 토큰을 검증하려면 아래 설정을 사용하세요.

Google Workspace 애플리케이션 컨텍스트	JWKS 엔드포인트 URL	승인 토큰 발급기관	승인 토큰 대상
Google Drive 및 Docs, Sheets와 같은 공동 콘텐츠 제작 도구	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
Meet CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
Calendar CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS 마이그레이션	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

서비스가 작동하는 각 비Google ID 공급업체 (IdP)에는 아래 설정이 필요합니다.

Google Workspace 클라이언트 측 암호화 (CSE)의 경계 개념은 KACLS를 통해 암호화 키에 대한 액세스 제어를 제공하는 데 사용됩니다. 경계는 KACLS 내에서 인증 및 승인 토큰에 대해 실행되는 선택적 추가 검사입니다.

경계를 사용하여 다음 작업을 할 수 있습니다.

허용된 도메인의 사용자만 키를 복호화하도록 허용합니다.
Google Workspace 관리자와 같은 사용자를 차단 목록에 추가합니다.
고급 제한사항을 제공합니다. 예를 들면 다음과 같습니다.
- 당직 직원 또는 휴가 중인 직원의 시간 기반 제한
- 특정 위치 또는 네트워크에서 액세스를 방지하는 위치정보 제한
- ID 제공업체에서 어설션한 사용자 역할 또는 유형 기반 액세스

KACLS가 활성 상태이고 올바르게 구성되었는지 확인하려면 status 요청을 전송하세요. KMS 접근성 또는 로깅 시스템 상태와 같은 내부 자체 점검도 실행할 수 있습니다.