השיטה הזו עוזרת לעבור מהשירות הישן של רשימות בקרת הגישה למפתחות (KACLS1) ל-KACLS החדש יותר (KACLS2). הוא לוקח מפתח הצפנת נתונים (DEK) שמוקף ב-API wrap
של KACLS1, ומחזיר DEK שמוקף ב-API wrap
של KACLS2.
בקשת HTTP
POST https://KACLS_URL/rewrap
מחליפים את KACLS_URL
בכתובת ה-URL של רשימת בקרת הגישה למפתחות (KACLS).
פרמטרים של נתיב
ללא.
גוף הבקשה
גוף הבקשה מכיל נתונים במבנה הבא:
ייצוג JSON | |
---|---|
{ "authorization": string, "original_kacls_url": string, "reason": string, "wrapped_key": string } |
שדות | |
---|---|
authorization |
JWT שטוען שהמשתמש מורשה לפתוח אריזה של מפתח עבור |
original_kacls_url |
כתובת ה-URL של קובצי KACLS של wrapped_key. |
reason |
מחרוזת JSON של העברה שמספקת הקשר נוסף לגבי הפעולה. יש למלא את קובץ ה-JSON שסופק לפני שהוא מוצג. גודל מקסימלי: 1KB. |
wrapped_key |
האובייקט הבינארי ב-base64 שהוחזר על ידי |
גוף התשובה
אם הפעולה הסתיימה בהצלחה, השיטה הזו תחזיר אובייקט בינארי אטום שיאוחסן על ידי Google Workspace יחד עם האובייקט המוצפן, ויישלח כפי שהוא בכל פעולה נוספת של פתיחת האריזה של המפתח. הוא אמור להחזיר גם את הפרמטר resource_key_hash בקידוד base64.
אם הפעולה נכשלת, צריך להחזיר תשובה על שגיאה מובנית.
האובייקט הבינארי צריך להכיל את העותק היחיד של ה-DEK המוצפן. ניתן לאחסן בו נתונים ספציפיים להטמעה.
אין לאחסן את ה-DEK במערכת KACLS, אלא להצפין אותו ולהחזיר אותו באובייקט wrapped_key
. כך מונעים אי-התאמות בין משך החיים של המסמך לבין המפתחות שלו. לדוגמה, כדי להבטיח שנתוני המשתמש יאופסו במלואם כשהוא יבקש אותם, או כדי לוודא שאפשר יהיה לפענח גרסאות קודמות ששוחזרו מגיבוי.
Google לא תשלח בקשות מחיקה ל-KACLS כאשר האובייקטים נמחקים.
ייצוג JSON | |
---|---|
{ "resource_key_hash": string, "wrapped_key": string } |
שדות | |
---|---|
resource_key_hash |
אובייקט בינארי בקידוד base64. למידע נוסף, אפשר לקרוא את המאמר גיבוב של מפתח משאב. |
wrapped_key |
האובייקט הבינארי בקידוד base64. גודל מקסימלי: 1KB. |
דוגמה
בדוגמה הזו מוצגת בקשה ותגובה לדוגמה עבור השיטה rewrap
.
בקשה
POST https://mykacls.example.com/v1/rewrap
{
"wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"authorization": "eyJhbGciOi...",
"original_kacls_url": "https://<kacl1_base_url>",
"reason": "{client:'drive' op:'read'}"
}
תשובה
{
"wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}