Gibt einen zusammengefassten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) und zugehörige Daten zurück. Mit dieser Methode können Daten, die von einem Domainadministrator in Google Drive importiert werden, in großen Mengen verschlüsselt werden.
Weitere Informationen finden Sie unter Daten ver- und entschlüsseln.
HTTP-Anfrage
POST https://KACLS_URL/privilegedwrap
Ersetzen Sie KACLS_URL durch die URL des Key Access Control List Service (KACLS).
Pfadparameter
Keine.
Anfragetext
Der Anfragetext enthält Daten mit folgender Struktur:
| JSON-Darstellung | |
|---|---|
{ "authentication": string, "key": string, "perimeter_id": string, "reason": string, "resource_name": string } |
|
| Felder | |
|---|---|
authentication |
Ein vom Identitätsanbieter (IdP) ausgestelltes JWT, das angibt, wer der Nutzer ist. Weitere Informationen finden Sie unter Authentifizierungstokens. |
key |
Der base64-codierte DEK. Maximale Größe: 128 Bytes. |
perimeter_id |
Ein optionaler Wert, der an den Speicherort des Dokuments gebunden ist und mit dem ausgewählt werden kann, welcher Perimeter beim Entschlüsseln geprüft wird. |
reason |
Ein Passthrough-JSON-String, der zusätzlichen Kontext zum Vorgang enthält. Das bereitgestellte JSON sollte bereinigt werden, bevor es angezeigt wird. Maximale Größe: 1 KB. |
resource_name |
Eine Kennung für das Objekt, das mit dem DEK verschlüsselt wurde. |
Antworttext
Bei Erfolg gibt diese Methode ein undurchsichtiges binäres Objekt zurück, das von Google Workspace zusammen mit dem verschlüsselten Objekt gespeichert und bei jedem nachfolgenden Entschlüsselungsvorgang unverändert gesendet wird.
Wenn der Vorgang fehlschlägt, wird eine strukturierte Fehlerantwort zurückgegeben.
Das binäre Objekt sollte die einzige Kopie des verschlüsselten DEK enthalten. Implementierungsspezifische Daten können darin gespeichert werden.
Speichern Sie das DEK nicht im KACLS-System (Key Access Control List Service), sondern verschlüsseln Sie es und geben Sie es im wrapped_key-Objekt zurück. So werden Abweichungen bei der Gültigkeitsdauer zwischen dem Dokument und seinen Schlüsseln verhindert. So kann beispielsweise sichergestellt werden, dass die Daten des Nutzers vollständig gelöscht werden, wenn er dies anfordert, oder dass frühere Versionen, die aus einer Sicherung wiederhergestellt wurden, entschlüsselt werden können.
| JSON-Darstellung | |
|---|---|
{ "wrapped_key": string } |
|
| Felder | |
|---|---|
wrapped_key |
Das base64-codierte binäre Objekt. Maximale Größe: 1 KB. |
Beispiel
In diesem Beispiel finden Sie eine Beispielanfrage und ‑antwort für die Methode privilegedwrap.
Anfrage
POST https://mykacls.example.com/v1/privilegedwrap
{
"key":"wHrlNOTI9mU6PBdqiq7EQA==",
"resource_name": "wdwqd…",
"authentication": "eyJhbGciOi…",
"reason": "admin import"
}
Antwort
{
"wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg=="
}