Diese Seite wurde von der Cloud Translation API übersetzt.

Methode: rewrap

Diese Methode hilft Ihnen bei der Migration vom alten Key Access Control List Service (KACLS1) zum neueren KACLS (KACLS2). Sie verwendet einen DEK, der mit der wrap API von KACLS1 verpackt ist, und gibt einen DEK zurück, der mit der wrap API von KACLS2 verpackt ist.

HTTP-Anfrage

POST https://KACLS_URL/rewrap

Ersetzen Sie KACLS_URL durch die KACLS-URL (Key Access Control Service).

Pfadparameter

Keine.

Anfragetext

Der Anfragetext enthält Daten mit folgender Struktur:

JSON-Darstellung
{ "authorization": string, "original_kacls_url": string, "reason": string, "wrapped_key": string }

Felder
`authorization`	`string` Ein JWT, das bestätigt, dass der Nutzer einen Schlüssel für `resource_name` entpacken darf. Siehe Autorisierungstokens.
`original_kacls_url`	`string` URL der KACLS des aktuellen verpackten_Schlüssels.
`reason`	`string (UTF-8)` Ein Passthrough-JSON-String, der zusätzlichen Kontext zum Vorgang liefert. Die bereitgestellte JSON-Datei sollte vor der Anzeige bereinigt werden. Maximale Größe: 1 KB.
`wrapped_key`	`string` Das von `wrap` zurückgegebene base64-Binärobjekt.

Antworttext

Bei Erfolg gibt diese Methode ein intransparentes binäres Objekt zurück, das von Google Workspace zusammen mit dem verschlüsselten Objekt gespeichert und bei jedem nachfolgenden Schlüsselentpackungsvorgang unverändert gesendet wird. Außerdem sollte der base64-codierte resource_key_hash zurückgegeben werden.

Wenn der Vorgang fehlschlägt, sollte eine strukturierte Fehlerantwort zurückgegeben werden.

Das binäre Objekt sollte die einzige Kopie des verschlüsselten DEK enthalten. Implementierungsspezifische Daten können darin gespeichert werden.

Speichern Sie den DEK nicht in Ihrem KACLS-System, sondern verschlüsseln Sie ihn und geben Sie ihn im Objekt wrapped_key zurück. Dies verhindert lebenslange Abweichungen zwischen dem Dokument und seinen Schlüsseln. Zum Beispiel, um sicherzustellen, dass die Daten des Nutzers bei Anforderung vollständig gelöscht werden, oder um sicherzustellen, dass frühere Versionen, die aus einer Sicherung wiederhergestellt wurden, entschlüsselt werden können.

Google sendet keine Löschanfragen an die KACLS, wenn Objekte gelöscht werden.

JSON-Darstellung
{ "resource_key_hash": string, "wrapped_key": string }

Felder

Felder
`resource_key_hash`	`string` Base64-codiertes Binärobjekt. Siehe Ressourcenschlüssel-Hash.
`wrapped_key`	`string` Das base64-codierte Binärobjekt. Maximale Größe: 1 KB.

resource_key_hash

string

Base64-codiertes Binärobjekt. Siehe Ressourcenschlüssel-Hash.

wrapped_key

string

Das base64-codierte Binärobjekt. Maximale Größe: 1 KB.

Beispiel

Dieses Beispiel enthält eine Beispielanfrage und -antwort für die Methode rewrap.

Anfragen

POST https://mykacls.example.com/v1/rewrap

{
   "wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
   "authorization": "eyJhbGciOi...",
   "original_kacls_url": "https://<kacl1_base_url>",
   "reason": "{client:'drive' op:'read'}"
}

Antwort

{
    "wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
    "resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}