メソッド: privilegedwrap

ラップされたデータ暗号鍵（DEK）と関連データを返します。このメソッドを使用すると、ドメイン管理者が Google ドライブにインポートしたデータを一括で暗号化できます。

詳細については、データの暗号化と復号をご覧ください。

HTTP リクエスト

POST https://KACLS_URL/privilegedwrap

KACLS_URL は、Key Access Control List Service（KACLS）の URL に置き換えます。

パスパラメータ

なし。

リクエストの本文

リクエストの本文には、次の構造のデータが含まれます。

{
  "authentication": string,
  "key": string,
  "perimeter_id": string,
  "reason": string,
  "resource_name": string
}

レスポンスの本文

成功すると、このメソッドは、Google Workspace によって暗号化されたオブジェクトとともに保存され、後続のキーのラップ解除オペレーションでそのまま送信される不透明なバイナリ オブジェクトを返します。

オペレーションが失敗すると、構造化されたエラー応答が返されます。

バイナリ オブジェクトには、暗号化された DEK のコピーが 1 つだけ含まれている必要があります。実装固有のデータは、このオブジェクトに保存できます。

DEK を Key Access Control List Service（KACLS）システムに保存せず、暗号化して wrapped_key オブジェクトで返します。これにより、ドキュメントとそのキーの有効期間の不一致を防ぐことができます。たとえば、ユーザーがリクエストしたときにユーザーのデータが完全に消去されるようにするため、またはバックアップから復元された以前のバージョンが復号可能であることを確認するためです。

{
  "wrapped_key": string
}

例

この例は、privilegedwrap メソッドのサンプル リクエストとレスポンスを示しています。

リクエスト

POST https://mykacls.example.com/v1/privilegedwrap

{
   "key":"wHrlNOTI9mU6PBdqiq7EQA==",
   "resource_name": "wdwqd…",
   "authentication": "eyJhbGciOi…",
   "reason": "admin import"
}

レスポンス

{
    "wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg=="
}