Este método te ayuda a migrar del servicio de lista de control de acceso a las claves (KACLS1) anterior a la KACLS más reciente (KACLS2). Toma una clave de encriptación de datos (DEK) unida con la API de wrap
de KACLS1 y muestra una DEK unida con la API de wrap
de KACLS2.
Solicitud HTTP
POST https://KACLS_URL/rewrap
Reemplaza KACLS_URL
por la URL del servicio de lista de control de acceso a las claves (KACLS).
Parámetros de ruta de acceso
Ningún contenido de este tipo
Cuerpo de la solicitud
El cuerpo de la solicitud contiene datos con la siguiente estructura:
Representación JSON | |
---|---|
{ "authorization": string, "original_kacls_url": string, "reason": string, "wrapped_key": string } |
Campos | |
---|---|
authorization |
Un JWT que confirme que el usuario tiene permiso para separar una clave para |
original_kacls_url |
URL del KACLS de wrap_key actual. |
reason |
Una string JSON de transferencia que proporciona contexto adicional sobre la operación. El JSON proporcionado se debe limpiar antes de mostrarse. Tamaño máximo: 1 KB |
wrapped_key |
El objeto binario base64 que muestra |
Cuerpo de la respuesta
Si se ejecuta de forma correcta, este método muestra un objeto binario opaco que Google Workspace almacenará junto con el objeto encriptado y se enviará tal como está en cualquier operación de desenvolvimiento de clave posterior. También debe mostrar el resource_key_hash codificado en base64.
Si la operación falla, se debe mostrar una respuesta de error estructurada.
El objeto binario debe contener la única copia de la DEK encriptada; se pueden almacenar datos específicos de la implementación en él.
No almacenes la DEK en tu sistema KACLS. En su lugar, críptala y muéstrala en el objeto wrapped_key
. Esto evita discrepancias permanentes entre el documento y sus claves. Por ejemplo, para garantizar que los datos del usuario se borren por completo cuando los solicite o que se puedan desencriptar las versiones anteriores restablecidas a partir de una copia de seguridad.
Google no enviará solicitudes de eliminación a los KACLS cuando se borren objetos.
Representación JSON | |
---|---|
{ "resource_key_hash": string, "wrapped_key": string } |
Campos | |
---|---|
resource_key_hash |
objeto binario codificado en base64. Consulta el artículo sobre el hash de la clave del recurso. |
wrapped_key |
El objeto binario codificado en base64. Tamaño máximo: 1 KB |
Ejemplo
En este ejemplo, se proporciona una solicitud y una respuesta de muestra para el método rewrap
.
Solicitud
POST https://mykacls.example.com/v1/rewrap
{
"wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"authorization": "eyJhbGciOi...",
"original_kacls_url": "https://<kacl1_base_url>",
"reason": "{client:'drive' op:'read'}"
}
Respuesta
{
"wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}