Méthode: réencapsuler

Cette méthode vous aide à migrer depuis l'ancien service de listes de contrôle d'accès aux clés (KACLS1) vers la dernière version de KACLS (KACLS2). Il nécessite une clé de chiffrement de données (DEK) encapsulé avec l'API wrap de KACLS1 et renvoie une DEK encapsulée avec l'API wrap de KACLS2.

Requête HTTP

POST https://KACLS_URL/rewrap

Remplacez KACLS_URL par la liste de contrôle d'accès aux clés. URL du service (KACLS).

Paramètres de chemin d'accès

Aucun

Corps de la requête

Le corps de la requête contient des données présentant la structure suivante :

Représentation JSON 
{
  "authorization": string,
  "original_kacls_url": string,
  "reason": string,
  "wrapped_key": string
}
Champs
authorization

string

Jeton JWT qui certifie que l'utilisateur est autorisé à désencapsuler une clé pour resource_name. Consultez la section Jetons d'autorisation.
original_kacls_url

string

URL de la clé KACLS encapsulée actuelle.
reason

string (UTF-8)

Chaîne JSON passthrough fournissant des informations supplémentaires sur l'opération. Le fichier JSON fourni doit être nettoyé avant d'être affiché. Taille maximale: 1 Ko.
wrapped_key

string

Objet binaire base64 renvoyé par wrap.

Corps de la réponse

Lorsque cette méthode fonctionne, elle renvoie un objet binaire opaque qui sera stocké. par Google Workspace sur l'objet chiffré, puis envoyé tel quel dans de désencapsulation de clé. Il doit également renvoyer le code resource_key_hash).

Si l'opération échoue, un réponse d'erreur structurée doit être renvoyé.

L'objet binaire doit contenir la seule copie de la clé DEK chiffrée, des données spécifiques à l'implémentation peuvent y être stockées.

Ne stockez pas la clé DEK dans votre système KACLS, chiffrez-la plutôt et renvoyez-la dans l'objet wrapped_key. Cela permet d'éviter les écarts de durée de vie et ses clés. Par exemple, pour s'assurer que les données de l'utilisateur effacés à la demande, ou pour s'assurer que les versions précédentes ont restauré d'une sauvegarde seront déchiffrables.

Google n'enverra pas de demandes de suppression à la KACLS lorsque des objets sont supprimés.

Représentation JSON 
{
  "resource_key_hash": string,
  "wrapped_key": string
}
Champs
resource_key_hash

string

objet binaire encodé en base64. Voir <ph type="x-smartling-placeholder"></ph> hachage de la clé de ressource.
wrapped_key

string

Objet binaire encodé en base64. Taille maximale: 1 Ko.

Exemple

Cet exemple fournit un exemple de requête et de réponse pour la méthode rewrap.

Requête

POST https://mykacls.example.com/v1/rewrap

{
   "wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
   "authorization": "eyJhbGciOi...",
   "original_kacls_url": "https://original.example.com/kacls/v1",
   "reason": "{client:'drive' op:'read'}"
}

Réponse

{
    "wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
    "resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}