Methode: rewrap

Mit dieser Methode können Sie vom alten Key Access Control List Service migrieren. (KACLS1) auf das neuere KACLS (KACLS2) umstellen. Hierfür wird ein Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) benötigt. mit der wrap API von KACLS1 umschlossen und ein DEK, der mit der wrap API von KACLS2 verpackt ist.

HTTP-Anfrage

POST https://KACLS_URL/rewrap

Ersetzen Sie KACLS_URL durch die Key Access Control List (Schlüssel-Zugriffssteuerungsliste). Dienst-URL (KACLS).

Pfadparameter

Keine.

Anfragetext

Der Anfragetext enthält Daten mit folgender Struktur:

JSON-Darstellung 
{
  "authorization": string,
  "original_kacls_url": string,
  "reason": string,
  "wrapped_key": string
}
Felder
authorization

string

Ein JWT, das bestätigt, dass der Nutzer einen Schlüssel für resource_name entpacken darf. Siehe Autorisierungstoken.
original_kacls_url

string

URL der KACLS des aktuellen verpackten Schlüssels.
reason

string (UTF-8)

Ein Passthrough-JSON-String, der zusätzlichen Kontext zum Vorgang liefert. Die bereitgestellte JSON-Datei muss vor der Anzeige bereinigt werden. Maximale Größe: 1 KB.
wrapped_key

string

Das von wrap zurückgegebene binäre base64-Objekt.

Antworttext

Bei Erfolg gibt diese Methode ein intransparentes binäres Objekt zurück, das gespeichert wird. von Google Workspace an das verschlüsselte Objekt gesendet und in der vorliegenden Form an Entpacken des Schlüssels. Außerdem sollte die base64-codierte resource_key_hash:

Wenn der Vorgang fehlschlägt, strukturierte Fehlerantwort zurückgegeben werden soll.

Das Binärobjekt sollte die einzige Kopie des verschlüsselten DEK enthalten, implementierungsspezifische Daten gespeichert werden können.

Speichern Sie den DEK nicht in Ihrem KACLS-System, sondern verschlüsseln Sie ihn und geben Sie ihn im Das wrapped_key-Objekt. Dies verhindert lebenslange Abweichungen zwischen den Dokument und seinen Schlüsseln. Um beispielsweise sicherzustellen, dass die Daten der Nutzenden vollständig werden gelöscht, wenn sie es anforderten, oder um sicherzustellen, dass frühere Versionen wiederhergestellt aus einer Sicherung entschlüsselbar sind.

Google sendet keine Löschanfragen an das KACLS, wenn Objekte gelöscht werden.

JSON-Darstellung 
{
  "resource_key_hash": string,
  "wrapped_key": string
}
Felder
resource_key_hash

string

base64-codiertes binäres Objekt. Weitere Informationen finden Sie unter . Hash des Ressourcenschlüssels.
wrapped_key

string

Das base64-codierte binäre Objekt. Maximale Größe: 1 KB.

Beispiel

Dieses Beispiel bietet eine Beispielanfrage und -antwort für die Methode rewrap.

Anfrage

POST https://mykacls.example.com/v1/rewrap

{
   "wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
   "authorization": "eyJhbGciOi...",
   "original_kacls_url": "https://original.example.com/kacls/v1",
   "reason": "{client:'drive' op:'read'}"
}

Antwort

{
    "wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
    "resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}