با مجموعهها، منظم بمانید
ذخیره و طبقهبندی محتوا براساس اولویتهای شما.
سرویس فهرست کنترل دسترسی کلید شما (KACLS) بدون دخالت Google پیکربندی شده است. در زیر جزئیاتی در مورد تنظیمات رایج و بهترین روشها برای پیکربندی سرویس شما آورده شده است.
تنظیمات عملیاتی
API فقط باید از طریق HTTPS با TLS 1.2 یا بالاتر با گواهی معتبر X.509 در دسترس باشد.
سرور API باید CORS را برای دسترسی به نقطه پایانی مجاز Google کنترل کند: https://client-side-encryption.google.com .
ما حداکثر تأخیر 200 میلیثانیه را برای 99 درصد درخواستها توصیه میکنیم.
تنظیمات ارائه دهنده مجوز
از تنظیمات زیر برای تأیید اعتبار توکنهای مجوز صادر شده توسط Google در هنگام رمزگذاری سمت مشتری (CSE) استفاده کنید:
زمینه برنامه Google Workspace
URL نقطه پایانی JWKS
صادرکننده توکن مجوز
مخاطب نشانه مجوز
Google Drive و ابزارهای ایجاد محتوای مشترک، مانند Docs و Sheets
تنظیمات زیر برای هر ارائهدهنده هویت غیر Google (IdP) مورد نیاز است که سرویس شما با آن کار میکند:
روش اعتبارسنجی توکن ها نشانهها معمولاً توسط URL یک فایل JSON Web Key Set (JWKS) تأیید میشوند، اما میتوانند خود کلیدهای عمومی نیز باشند.
ارزشهای صادرکننده و مخاطب: مقادیر فیلد iss (صادرکننده) و aud (مخاطب) که توسط هر ارائهدهنده هویت استفاده میشود.
تنظیمات محیط
مفهوم محیط در Google Workspace در رمزگذاری سمت مشتری (CSE) برای ارائه کنترل دسترسی به کلیدهای رمزگذاری از طریق KACLS استفاده می شود. محیطها، بررسیهای اضافی اختیاری هستند که روی توکنهای احراز هویت و مجوز در KACLS انجام میشوند.
از محیط ها می توان برای موارد زیر استفاده کرد:
فقط به کاربران در دامنه های مجاز اجازه رمزگشایی کلیدها را بدهید.
کاربران لیست مسدود شده، مانند مدیران Google Workspace.
محدودیت های پیشرفته را ارائه دهید. به عنوان مثال:
محدودیت های مبتنی بر زمان برای کارکنان در حال تماس یا افرادی که در تعطیلات هستند
محدودیت های موقعیت جغرافیایی برای جلوگیری از دسترسی از مکان ها یا شبکه های خاص
دسترسی مبتنی بر نقش یا نوع کاربر، همانطور که توسط یک ارائه دهنده هویت بیان شده است
پیکربندی KACLS خود را تأیید کنید
برای بررسی اینکه آیا KACLS شما فعال است و به درستی پیکربندی شده است، یک درخواست status ارسال کنید. خود بررسیهای داخلی، مانند دسترسی به KMS یا سلامت سیستم گزارشگیری، نیز میتواند انجام شود.
تاریخ آخرین بهروزرسانی 2025-06-05 بهوقت ساعت هماهنگ جهانی.
[[["درک آسان","easyToUnderstand","thumb-up"],["مشکلم را برطرف کرد","solvedMyProblem","thumb-up"],["غیره","otherUp","thumb-up"]],[["اطلاعاتی که نیاز دارم وجود ندارد","missingTheInformationINeed","thumb-down"],["بیشازحد پیچیده/ مراحل بسیار زیاد","tooComplicatedTooManySteps","thumb-down"],["قدیمی","outOfDate","thumb-down"],["مشکل ترجمه","translationIssue","thumb-down"],["مشکل کد / نمونهها","samplesCodeIssue","thumb-down"],["غیره","otherDown","thumb-down"]],["تاریخ آخرین بهروزرسانی 2025-06-05 بهوقت ساعت هماهنگ جهانی."],[[["Your Key Access Control List Service (KACLS) is configured independently by you, allowing you to control access to encryption keys for Google Workspace Client-side encryption (CSE)."],["KACLS requires specific operational settings like HTTPS with TLS 1.2 or later, CORS handling for Google's authorized endpoint, and a recommended latency of under 200ms for most requests."],["Authorization settings need to be configured for Google Workspace applications like Drive, Meet, Calendar, and Gmail, enabling validation of Google-issued authorization tokens during CSE."],["Perimeter settings offer optional but powerful access control by allowing or blocking users based on criteria like domains, user roles, time, and location, enhancing security for encryption keys."],["Identity Provider settings are crucial for non-Google Identity Providers, requiring you to specify methods for validating tokens and the issuer and audience values used by each provider."]]],["KACLS configuration requires the API to use HTTPS with TLS 1.2 or later, handle CORS for `https://client-side-encryption.google.com`, and maintain a maximum 200ms latency. It uses Google-issued authorization tokens, validated via JWKS endpoints specific to Google Workspace applications. Non-Google Identity Provider settings require token validation methods, issuer, and audience values. Perimeters, an optional access control, can allow or block access based on domain, user, time, or location. Verification is done via a status request.\n"]]
