이 페이지는 Cloud Translation API를 통해 번역되었습니다.

서비스 구성

키 액세스 제어 목록 서비스 (KACLS)가 Google의 있습니다. 다음은 일반적인 설정 및 권장사항에 관한 세부정보입니다. 서비스 구성도 포함됩니다

운영 설정

API는 TLS 1.2 이상의 유효한 X.509 인증서입니다.
API 서버는 CORS를 처리해야 합니다. Google이 승인한 엔드포인트(https://client-side-encryption.google.com)에 액세스할 수 있습니다.
요청의 99% 에는 최대 지연 시간을 200ms로 설정하는 것이 좋습니다.

아래 설정을 사용하여 Google에서 발급한 승인 토큰을 사용하는 동안 클라이언트 측 암호화 (CSE):

Google Workspace 애플리케이션 컨텍스트	JWKS 엔드포인트 URL	승인 토큰 발급기관	승인 토큰 대상
Google Drive 및 공동 콘텐츠 제작 도구(예: Docs, Sheets)	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`gsuitecse-tokenissuer-drive@system.gserviceaccount.com`	`cse-authorization`
CSE Meet 사용	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`gsuitecse-tokenissuer-meet@system.gserviceaccount.com`	`cse-authorization`
Calendar CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`gsuitecse-tokenissuer-calendar@system.gserviceaccount.com`	`cse-authorization`
Gmail CSE	`https://www.googleapis.com/service_accounts/v1/jwk/gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`gsuitecse-tokenissuer-gmail@system.gserviceaccount.com`	`cse-authorization`
KACLS 이전	`https://www.googleapis.com/service_accounts/v1/jwk/apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`apps-security-cse-kaclscommunication@system.gserviceaccount.com`	`cse-authorization`

아래 설정은 각 ID 공급업체 (IdP)가 아닌 서비스는 다음에서 작동합니다.

Google Workspace 클라이언트 측 암호화 (CSE)의 경계 개념이 사용됩니다. KACLS를 통해 암호화 키에 대한 액세스 제어를 제공합니다. 경계 인증 및 승인에 대해 수행되는 선택적 추가 검사입니다. KACLS 내 토큰

경계를 사용하여 다음을 수행할 수 있습니다.

허용된 도메인의 사용자만 키를 복호화하도록 허용
Google Workspace 관리자와 같은 사용자를 차단합니다.
고급 제한을 제공합니다. 예를 들면 다음과 같습니다.
- 긴급 대기 직원 또는 휴가 중인 직원에 대한 시간 기반 제한
- 특정 위치에서의 액세스를 방지하기 위한 위치정보 제한 네트워크
- ID 공급업체가 어설션한 사용자 역할 또는 유형 기반 액세스

를 통해 개인정보처리방침을 정의할 수 있습니다.

KACLS가 활성 상태이고 올바르게 구성되었는지 확인하려면 status 요청 내부 자체 검사, KMS 접근성 또는 시스템 상태 로깅과 같은 여러 가지 작업을 수행할 수도 있습니다