Este método te ayuda a migrar desde el servicio de lista de control de acceso de claves anterior.
(KACLS1) al KACLS más reciente (KACLS2). Requiere una clave de encriptación de datos (DEK).
unida con la API de wrap de KACLS1 y muestra un
DEK unida con la API de wrap de KACLS2.
Solicitud HTTP
POST https://KACLS_URL/rewrap
Reemplaza KACLS_URL por la Lista de control de acceso a las claves.
Service (KACLS).
Parámetros de ruta
Ninguno
Cuerpo de la solicitud
El cuerpo de la solicitud contiene datos con la siguiente estructura:
| Representación JSON | |
|---|---|
{ "authorization": string, "original_kacls_url": string, "reason": string, "wrapped_key": string } |
|
| Campos | |
|---|---|
authorization |
Un JWT que afirma que el usuario puede separar una clave para |
original_kacls_url |
URL del KACLS de Pair_key actual. |
reason |
Una cadena JSON de transferencia que proporciona contexto adicional sobre la operación. Se debe limpiar el JSON proporcionado antes de mostrarlo. Tamaño máximo: 1 KB |
wrapped_key |
El objeto binario en base64 que muestra |
Cuerpo de la respuesta
Si se aplica correctamente, este método muestra un objeto binario opaco que se almacenará por Google Workspace junto con el objeto encriptado y se envían como están en cualquier instancia una operación de desenvolvimiento de claves. También debería mostrar el valor codificado en base64 resource_key_hash.
Si la operación falla, se genera una respuesta estructurada de error debería mostrarse.
El objeto binario debe contener la única copia de la DEK encriptada. en la que se pueden almacenar datos específicos para la implementación.
No almacenes la DEK en tu sistema KACLS; en cambio, encríptala y devuélvela en
el objeto wrapped_key. Esto evita discrepancias en el ciclo de vida entre los
documento y sus claves. Por ejemplo, para garantizar que los datos del usuario estén
elimina cuando lo solicitan, o para asegurarse de que las versiones anteriores restablecieron
de una copia de seguridad se podrán desencriptar.
Google no enviará solicitudes de eliminación al KACLS cuando se borren objetos.
| Representación JSON | |
|---|---|
{ "resource_key_hash": string, "wrapped_key": string } |
|
| Campos | |
|---|---|
resource_key_hash |
objeto binario codificado en base64. Consulta hash de clave de recurso. |
wrapped_key |
El objeto binario codificado en base64. Tamaño máximo: 1 KB |
Ejemplo
En este ejemplo, se proporciona una solicitud de muestra y una respuesta para el método rewrap.
Solicitud
POST https://mykacls.example.com/v1/rewrap
{
"wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"authorization": "eyJhbGciOi...",
"original_kacls_url": "https://<kacl1_base_url>",
"reason": "{client:'drive' op:'read'}"
}
Respuesta
{
"wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}