Renvoie une clé de chiffrement des données (DEK) encapsulée et les données associées. Utilisez cette méthode pour chiffrer les données importées dans Google Drive de manière groupée par un administrateur de domaine.
Pour en savoir plus, consultez Chiffrer et déchiffrer des données.
Requête HTTP
POST https://KACLS_URL/privilegedwrap
Remplacez KACLS_URL par l'URL du service de liste de contrôle d'accès aux clés (KACLS).
Paramètres de chemin d'accès
Aucune.
Corps de la requête
Le corps de la requête contient des données présentant la structure suivante :
| Représentation JSON | |
|---|---|
{ "authentication": string, "key": string, "perimeter_id": string, "reason": string, "resource_name": string } |
|
| Champs | |
|---|---|
authentication |
Jeton JWT émis par le fournisseur d'identité (IdP) qui indique l'identité de l'utilisateur. Consultez Jetons d'authentification. |
key |
Clé de chiffrement des données encodée en base64. Taille maximale : 128 octets. |
perimeter_id |
Valeur facultative associée à l'emplacement du document, qui peut être utilisée pour choisir le périmètre à vérifier lors du déchiffrement. |
reason |
Chaîne JSON directe fournissant un contexte supplémentaire sur l'opération. Le JSON fourni doit être nettoyé avant d'être affiché. Taille maximale : 1 Ko. |
resource_name |
Identifiant de l'objet chiffré par la clé de chiffrement des données. |
Corps de la réponse
Si la requête aboutit, cette méthode renvoie un objet binaire opaque stocké par Google Workspace avec l'objet chiffré et envoyé tel quel lors de toute opération de déchiffrement de clé ultérieure.
Si l'opération échoue, une réponse d'erreur structurée est renvoyée.
L'objet binaire doit contenir la seule copie de la DEK chiffrée. Des données spécifiques à l'implémentation peuvent y être stockées.
Ne stockez pas la DEK dans le système KACLS (Key Access Control List Service). Chiffrez-la plutôt et renvoyez-la dans l'objet wrapped_key. Cela évite les écarts de durée de vie entre le document et ses clés. Par exemple, pour s'assurer que les données de l'utilisateur sont entièrement effacées lorsqu'il en fait la demande, ou pour s'assurer que les versions précédentes restaurées à partir d'une sauvegarde peuvent être déchiffrées.
| Représentation JSON | |
|---|---|
{ "wrapped_key": string } |
|
| Champs | |
|---|---|
wrapped_key |
Objet binaire encodé en base64. Taille maximale : 1 Ko. |
Exemple
Cet exemple fournit un exemple de requête et de réponse pour la méthode privilegedwrap.
Requête
POST https://mykacls.example.com/v1/privilegedwrap
{
"key":"wHrlNOTI9mU6PBdqiq7EQA==",
"resource_name": "wdwqd…",
"authentication": "eyJhbGciOi…",
"reason": "admin import"
}
Réponse
{
"wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg=="
}