Método: rewrap

Este método te ayuda a migrar desde el servicio de lista de control de acceso de claves anterior. (KACLS1) al KACLS más reciente (KACLS2). Requiere una clave de encriptación de datos (DEK). unida con la API de wrap de KACLS1 y muestra un DEK unida con la API de wrap de KACLS2.

Solicitud HTTP

POST https://KACLS_URL/rewrap

Reemplaza KACLS_URL por la Lista de control de acceso a las claves. Service (KACLS).

Parámetros de ruta

Ninguno

Cuerpo de la solicitud

El cuerpo de la solicitud contiene datos con la siguiente estructura:

Representación JSON 
{
  "authorization": string,
  "original_kacls_url": string,
  "reason": string,
  "wrapped_key": string
}
Campos
authorization

string

Un JWT que afirma que el usuario puede separar una clave para resource_name. Consulta los tokens de autorización.
original_kacls_url

string

URL del KACLS de Pair_key actual.
reason

string (UTF-8)

Una cadena JSON de transferencia que proporciona contexto adicional sobre la operación. Se debe limpiar el JSON proporcionado antes de mostrarlo. Tamaño máximo: 1 KB
wrapped_key

string

El objeto binario en base64 que muestra wrap.

Cuerpo de la respuesta

Si se aplica correctamente, este método muestra un objeto binario opaco que se almacenará por Google Workspace junto con el objeto encriptado y se envían como están en cualquier instancia una operación de desenvolvimiento de claves. También debería mostrar el valor codificado en base64 resource_key_hash.

Si la operación falla, se genera una respuesta estructurada de error debería mostrarse.

El objeto binario debe contener la única copia de la DEK encriptada. en la que se pueden almacenar datos específicos para la implementación.

No almacenes la DEK en tu sistema KACLS; en cambio, encríptala y devuélvela en el objeto wrapped_key. Esto evita discrepancias en el ciclo de vida entre los documento y sus claves. Por ejemplo, para garantizar que los datos del usuario estén elimina cuando lo solicitan, o para asegurarse de que las versiones anteriores restablecieron de una copia de seguridad se podrán desencriptar.

Google no enviará solicitudes de eliminación al KACLS cuando se borren objetos.

Representación JSON 
{
  "resource_key_hash": string,
  "wrapped_key": string
}
Campos
resource_key_hash

string

objeto binario codificado en base64. Consulta hash de clave de recurso.
wrapped_key

string

El objeto binario codificado en base64. Tamaño máximo: 1 KB

Ejemplo

En este ejemplo, se proporciona una solicitud de muestra y una respuesta para el método rewrap.

Solicitud

POST https://mykacls.example.com/v1/rewrap

{
   "wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
   "authorization": "eyJhbGciOi...",
   "original_kacls_url": "https://original.example.com/kacls/v1",
   "reason": "{client:'drive' op:'read'}"
}

Respuesta

{
    "wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
    "resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}