Mit dieser Methode können Sie vom alten Key Access Control List Service migrieren.
(KACLS1) auf das neuere KACLS (KACLS2) umstellen. Hierfür wird ein Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) benötigt.
mit der wrap API von KACLS1 umschlossen und ein
DEK, der mit der wrap API von KACLS2 verpackt ist.
HTTP-Anfrage
POST https://KACLS_URL/rewrap
Ersetzen Sie KACLS_URL durch die Key Access Control List (Schlüssel-Zugriffssteuerungsliste).
Dienst-URL (KACLS).
Pfadparameter
Keine.
Anfragetext
Der Anfragetext enthält Daten mit folgender Struktur:
| JSON-Darstellung | |
|---|---|
{ "authorization": string, "original_kacls_url": string, "reason": string, "wrapped_key": string } |
|
| Felder | |
|---|---|
authorization |
Ein JWT, das bestätigt, dass der Nutzer einen Schlüssel für |
original_kacls_url |
URL der KACLS des aktuellen verpackten Schlüssels. |
reason |
Ein Passthrough-JSON-String, der zusätzlichen Kontext zum Vorgang liefert. Die bereitgestellte JSON-Datei muss vor der Anzeige bereinigt werden. Maximale Größe: 1 KB. |
wrapped_key |
Das von |
Antworttext
Bei Erfolg gibt diese Methode ein intransparentes binäres Objekt zurück, das gespeichert wird. von Google Workspace an das verschlüsselte Objekt gesendet und in der vorliegenden Form an Entpacken des Schlüssels. Außerdem sollte die base64-codierte resource_key_hash:
Wenn der Vorgang fehlschlägt, strukturierte Fehlerantwort zurückgegeben werden soll.
Das Binärobjekt sollte die einzige Kopie des verschlüsselten DEK enthalten, implementierungsspezifische Daten gespeichert werden können.
Speichern Sie den DEK nicht in Ihrem KACLS-System, sondern verschlüsseln Sie ihn und geben Sie ihn im
Das wrapped_key-Objekt. Dies verhindert lebenslange Abweichungen zwischen den
Dokument und seinen Schlüsseln. Um beispielsweise sicherzustellen, dass die Daten der Nutzenden vollständig
werden gelöscht, wenn sie es anforderten, oder um sicherzustellen, dass frühere Versionen wiederhergestellt
aus einer Sicherung entschlüsselbar sind.
Google sendet keine Löschanfragen an das KACLS, wenn Objekte gelöscht werden.
| JSON-Darstellung | |
|---|---|
{ "resource_key_hash": string, "wrapped_key": string } |
|
| Felder | |
|---|---|
resource_key_hash |
base64-codiertes binäres Objekt. Weitere Informationen finden Sie unter . Hash des Ressourcenschlüssels. |
wrapped_key |
Das base64-codierte binäre Objekt. Maximale Größe: 1 KB. |
Beispiel
Dieses Beispiel bietet eine Beispielanfrage und -antwort für die Methode rewrap.
Anfrage
POST https://mykacls.example.com/v1/rewrap
{
"wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"authorization": "eyJhbGciOi...",
"original_kacls_url": "https://<kacl1_base_url>",
"reason": "{client:'drive' op:'read'}"
}
Antwort
{
"wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
"resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}