Diese Methode hilft Ihnen bei der Migration vom alten Key Access Control List Service (KACLS1) zum neueren KACLS (KACLS2). Sie verwendet einen DEK, der mit der wrap
API von KACLS1 verpackt ist, und gibt einen DEK zurück, der mit der wrap
API von KACLS2 verpackt ist.
HTTP-Anfrage
POST https://KACLS_URL/rewrap
Ersetzen Sie KACLS_URL
durch die KACLS-URL (Key Access Control Service).
Pfadparameter
Keine.
Anfragetext
Der Anfragetext enthält Daten mit folgender Struktur:
JSON-Darstellung | |
---|---|
{ "authorization": string, "original_kacls_url": string, "reason": string, "wrapped_key": string } |
Felder | |
---|---|
authorization |
Ein JWT, das bestätigt, dass der Nutzer einen Schlüssel für |
original_kacls_url |
URL der KACLS des aktuellen verpackten_Schlüssels. |
reason |
Ein Passthrough-JSON-String, der zusätzlichen Kontext zum Vorgang liefert. Die bereitgestellte JSON-Datei sollte vor der Anzeige bereinigt werden. Maximale Größe: 1 KB. |
wrapped_key |
Das von |
Antworttext
Bei Erfolg gibt diese Methode ein intransparentes binäres Objekt zurück, das von Google Workspace zusammen mit dem verschlüsselten Objekt gespeichert und bei jedem nachfolgenden Schlüsselentpackungsvorgang unverändert gesendet wird. Außerdem sollte der base64-codierte resource_key_hash zurückgegeben werden.
Wenn der Vorgang fehlschlägt, sollte eine strukturierte Fehlerantwort zurückgegeben werden.
Das binäre Objekt sollte die einzige Kopie des verschlüsselten DEK enthalten. Implementierungsspezifische Daten können darin gespeichert werden.
Speichern Sie den DEK nicht in Ihrem KACLS-System, sondern verschlüsseln Sie ihn und geben Sie ihn im Objekt wrapped_key
zurück. Dies verhindert lebenslange Abweichungen zwischen dem Dokument und seinen Schlüsseln. Zum Beispiel, um sicherzustellen, dass die Daten des Nutzers bei Anforderung vollständig gelöscht werden, oder um sicherzustellen, dass frühere Versionen, die aus einer Sicherung wiederhergestellt wurden, entschlüsselt werden können.
Google sendet keine Löschanfragen an die KACLS, wenn Objekte gelöscht werden.
JSON-Darstellung | |
---|---|
{ "resource_key_hash": string, "wrapped_key": string } |
Felder | |
---|---|
resource_key_hash |
Base64-codiertes Binärobjekt. Siehe Ressourcenschlüssel-Hash. |
wrapped_key |
Das base64-codierte Binärobjekt. Maximale Größe: 1 KB. |
Beispiel
Dieses Beispiel enthält eine Beispielanfrage und -antwort für die Methode rewrap
.
Anfragen
POST https://mykacls.example.com/v1/rewrap
{
"wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"authorization": "eyJhbGciOi...",
"original_kacls_url": "https://<kacl1_base_url>",
"reason": "{client:'drive' op:'read'}"
}
Antwort
{
"wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}