Acompáñanos en la Cumbre de desarrolladores de Google Workspace los días 8 y 9 de octubre en Sunnyvale, California, y los días 21 y 22 de octubre en París, Francia. Regístrate hoy mismo para conectarte con otros desarrolladores y obtener una vista previa de las funciones y actualizaciones más recientes.

Se usó la API de Cloud Translation para traducir esta página.

Método: privilegedwrap

Devuelve una clave de encriptación de datos (DEK) unida y los datos asociados. Usa este método para encriptar de forma masiva los datos que un administrador del dominio importó a Google Drive.

Para obtener más detalles, consulta Encripta y desencripta datos.

Solicitud HTTP

POST https://KACLS_URL/privilegedwrap

Reemplaza KACLS_URL por la URL del servicio de lista de control de acceso a las claves (KACLS).

Parámetros de ruta

Ninguno

Cuerpo de la solicitud

El cuerpo de la solicitud contiene datos con la siguiente estructura:

Representación JSON
{ "authentication": string, "key": string, "perimeter_id": string, "reason": string, "resource_name": string }

Campos
`authentication`	`string` Es un JWT emitido por el proveedor de identidad (IdP) que afirma quién es el usuario. Consulta tokens de autenticación.
`key`	`string` Es la DEK codificada en base64. Tamaño máximo: 128 bytes.
`perimeter_id`	`string (UTF-8)` Es un valor opcional vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se verifica al desencapsular.
`reason`	`string (UTF-8)` Es una cadena JSON de transferencia que proporciona contexto adicional sobre la operación. El JSON proporcionado debe limpiarse antes de mostrarse. Tamaño máx.: 1 KB
`resource_name`	`string (UTF-8)` Es un identificador del objeto encriptado por la DEK.

Cuerpo de la respuesta

Si se ejecuta correctamente, este método devuelve un objeto binario opaco que Google Workspace almacena junto con el objeto encriptado y que se envía tal cual en cualquier operación posterior de desencriptado de claves.

Si la operación falla, se devuelve una respuesta de error estructurada.

El objeto binario debe contener la única copia de la DEK encriptada, y se pueden almacenar en él datos específicos de la implementación.

No almacenes la DEK en el sistema del Servicio de lista de control de acceso a las claves (KACLS), sino que encripta la DEK y devuélvela en el objeto wrapped_key. Esto evita discrepancias en la vida útil entre el documento y sus claves. Por ejemplo, para garantizar que los datos del usuario se borren por completo cuando lo solicite o para asegurarse de que las versiones anteriores restauradas a partir de una copia de seguridad se puedan desencriptar.

Representación JSON
{ "wrapped_key": string }

Campos

Campos
`wrapped_key`	`string` Es el objeto binario codificado en base64. Tamaño máx.: 1 KB

wrapped_key

string

Es el objeto binario codificado en base64. Tamaño máx.: 1 KB

Ejemplo

En este ejemplo, se proporcionan una solicitud y una respuesta de muestra para el método privilegedwrap.

Solicitud

POST https://mykacls.example.com/v1/privilegedwrap

{
   "key":"wHrlNOTI9mU6PBdqiq7EQA==",
   "resource_name": "wdwqd…",
   "authentication": "eyJhbGciOi…",
   "reason": "admin import"
}

Respuesta

{
    "wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg=="
}