Gibt den verschlüsselten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) und zugehörige Daten zurück.
Weitere Informationen finden Sie unter Daten verschlüsseln und entschlüsseln.
HTTP-Anfrage
POST https://KACLS_URL/wrap
Ersetzen Sie KACLS_URL
durch die KACLS-URL (Key Access Control Service).
Pfadparameter
Keine.
Anfragetext
Der Anfragetext enthält Daten mit folgender Struktur:
JSON-Darstellung | |
---|---|
{ "authentication": string, "authorization": string, "key": string, "reason": string } |
Felder | |
---|---|
authentication |
Ein vom IdP ausgegebenes JWT, das bestätigt, wer der Nutzer ist. Siehe Authentifizierungstokens. |
authorization |
Ein JWT, das bestätigt, dass der Nutzer einen Schlüssel für |
key |
Der base64-codierte DEK. Maximale Größe: 128 Byte. |
reason |
Ein Passthrough-JSON-String, der zusätzlichen Kontext zum Vorgang liefert. Die bereitgestellte JSON-Datei sollte vor der Anzeige bereinigt werden. Maximale Größe: 1 KB. |
Antworttext
Bei Erfolg gibt diese Methode ein intransparentes binäres Objekt zurück, das von Google Workspace zusammen mit dem verschlüsselten Objekt gespeichert und bei jedem nachfolgenden Schlüsselentpackungsvorgang unverändert gesendet wird.
Wenn der Vorgang fehlschlägt, sollte eine strukturierte Fehlerantwort zurückgegeben werden.
Das binäre Objekt sollte die einzige Kopie des verschlüsselten DEK enthalten. Darin können implementierungsspezifische Daten gespeichert werden.
Speichern Sie den DEK nicht im KACLS-System (Key Access Control List), sondern verschlüsseln Sie den DEK und geben Sie ihn im Objekt „wrapd_key“ zurück. Dadurch werden Diskrepanzen zwischen dem Dokument und seinen Schlüsseln während der Lebensdauer verhindert. Beispielsweise wird sichergestellt, dass die Daten des Nutzers vollständig gelöscht werden, wenn er sie anfordert, oder um sicherzustellen, dass frühere Versionen, die aus einer Sicherung wiederhergestellt wurden, entschlüsselt werden können.
JSON-Darstellung | |
---|---|
{ "wrapped_key": string } |
Felder | |
---|---|
wrapped_key |
Das base64-codierte Binärobjekt. Maximale Größe: 1 KB. |
Beispiel
Dieses Beispiel enthält eine Beispielanfrage und -antwort für die Methode wrap
.
Anfragen
POST https://mykacls.example.com/v1/wrap
{
"key":"wHrlNOTI9mU6PBdqiq7EQA==",
"authorization": "eyJhbGciOi…"
"authentication": "eyJhbGciOi…"
"reason": "{client:'drive' op:'update'}"
}
Antwort
{
"wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg=="
}