このページは Cloud Translation API によって翻訳されました。

認可トークン

呼び出し元がリソースの暗号化または復号を行う権限を持っていることを確認するために Google によって発行されるベアラートークン（JWT: RFC 7516）。

不正使用を防ぐため、鍵アクセス制御リストサービス（KACLS）は、呼び出し元が鍵をラップする前にオブジェクト（ファイルまたはドキュメント）を暗号化し、DEK をラップ解除する前に復号する権限を持っていることを確認する必要があります。

ドキュメントとドライブ、カレンダー、Meet のクライアントサイド暗号化（CSE）の認可トークン

JSON 表現
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

フィールド
`aud`	`string` Google が識別したオーディエンス。ローカル構成と照らし合わせて確認する必要があります。
`email`	`string (UTF-8)` ユーザーのメールアドレスです。
`email_type`	`string` 次のいずれかの値が含まれます。 `google`: このメールアドレスは Google アカウントに関連付けられています。 `google-visitor`: このメールアドレスは Google アカウントに属していませんが、Google によって PIN コードで確認されています。 `customer-idp`: このメールアドレスは Google アカウントに属していませんが、お客様が構成した IdP を使用してユーザーのメールアドレスが抽出されました。このクレームは未設定にできます。その場合、デフォルト値は「google」になります。
`exp`	`string` 有効期限。
`iat`	`string` 発行時間。
`iss`	`string` トークン発行者。信頼できる認証発行元のセットと照合して検証する必要があります。
`kacls_url`	`string` 構成されたベース KACLS URL。中間者（PITM）攻撃を防ぐために使用されます。
`perimeter_id`	`string (UTF-8)` （省略可）ドキュメントの場所に関連付けられた値。アンラップ時にチェックする境界を選択するために使用できます。最大サイズ: 128 バイト。
`resource_name`	`string (UTF-8)` DEK によって暗号化されたオブジェクトの識別子。最大サイズ: 128 バイト。
`role`	`string` 次のいずれかの値が含まれます。 `reader`: `unwrap` のみを呼び出すことができます。 `writer`: `wrap` と `unwrap` の両方を呼び出せます。

Gmail CSE の認可トークン

JSON 表現
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

JSON 表現

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

フィールド
`aud`	`string` Google が識別したオーディエンス。ローカル構成と照らし合わせて確認する必要があります。
`email`	`string (UTF-8)` ユーザーのメールアドレスです。
`exp`	`string` 有効期限。
`iat`	`string` 発行時間。
`message_id`	`string` 復号または署名が実行されるメッセージの識別子。監査目的でクライアントの理由として使用されます。
`iss`	`string` トークン発行者。信頼できる認証発行元のセットと照合して検証する必要があります。
`kacls_url`	`string` 構成されたベース KACLS URL。中間者（PITM）攻撃を防ぐために使用されます。
`perimeter_id`	`string (UTF-8)` （省略可）ドキュメントの場所と関連付けられた値。アンラップ時にチェックする境界を選択するために使用できます。最大サイズ: 128 バイト。
`resource_name`	`string (UTF-8)` DEK によって暗号化されたオブジェクトの識別子。最大サイズ: 512 バイト。
`role`	`string` 次のいずれかの値が含まれます。 `decrypter`: 復号可能。 `signer`: 署名可能。
`spki_hash`	`string` アクセスされる秘密鍵の DER エンコードされた `SubjectPublicKeyInfo` の標準 Base64 エンコードされたダイジェスト。
`spki_hash_algorithm`	`string` `spki_hash` の生成に使用されるアルゴリズム。`SHA-256` が可能です。

KACLS 移行サービスの認可トークン

JSON 表現
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

フィールド
`aud`	`string` Google が識別したオーディエンス。ローカル構成と照らし合わせて確認する必要があります。
`email`	`string (UTF-8)` ユーザーのメールアドレスです。
`exp`	`string` 有効期限。
`iat`	`string` 発行時間。
`iss`	`string` トークン発行者。信頼できる認証発行元のセットと照合して検証する必要があります。
`kacls_url`	`string` 構成されたベース KACLS URL。中間者（PITM）攻撃を防ぐために使用されます。
`role`	`string` 次のいずれかの値が含まれます。 `migrator`: `rewrap` のみを呼び出すことができます。 `verifier`: `digest` のみを呼び出すことができます。