Renvoie une clé de chiffrement de données (DEK) chiffrée et les données associées.
Pour en savoir plus, consultez Chiffrer et déchiffrer des données.
Requête HTTP
POST https://KACLS_URL/wrap
Remplacez KACLS_URL
par l'URL du service de liste de contrôle d'accès aux clés (KACLS).
Paramètres de chemin d'accès
Aucune
Corps de la requête
Le corps de la requête contient des données présentant la structure suivante :
Représentation JSON | |
---|---|
{ "authentication": string, "authorization": string, "key": string, "reason": string } |
Champs | |
---|---|
authentication |
Jeton JWT émis par le fournisseur d'identité pour revendiquer l'identité de l'utilisateur. Consultez la section Jetons d'authentification. |
authorization |
Un jeton JWT qui garantit que l'utilisateur est autorisé à encapsuler une clé pour |
key |
DEK encodée en base64. Taille maximale: 128 octets. |
reason |
Chaîne JSON passthrough fournissant du contexte supplémentaire sur l'opération. Le fichier JSON fourni doit être nettoyé avant d'être affiché. Taille maximale: 1 Ko. |
Corps de la réponse
Si cette méthode fonctionne, elle renvoie un objet binaire opaque qui sera stocké par Google Workspace avec l'objet chiffré et envoyé tel quel lors de toute opération de désencapsulation ultérieure de la clé.
Si l'opération échoue, une réponse d'erreur structurée doit être renvoyée.
L'objet binaire doit contenir la seule copie de la clé DEK chiffrée. Des données spécifiques à l'implémentation peuvent y être stockées.
Ne stockez pas la DEK dans le système KACLS (Key Access Control List Service), mais chiffrez-la et renvoyez-la dans l'objet encapsulé_key. Cela permet d'éviter les écarts de durée de vie entre le document et ses clés. Par exemple, pour garantir que les données de l'utilisateur sont entièrement effacées lorsqu'il le demande, ou pour s'assurer que les versions précédentes restaurées à partir d'une sauvegarde sont déchiffrables.
Représentation JSON | |
---|---|
{ "wrapped_key": string } |
Champs | |
---|---|
wrapped_key |
Objet binaire encodé en base64. Taille maximale: 1 Ko. |
Exemple
Cet exemple fournit un exemple de requête et de réponse pour la méthode wrap
.
Requête
POST https://mykacls.example.com/v1/wrap
{
"key":"wHrlNOTI9mU6PBdqiq7EQA==",
"authorization": "eyJhbGciOi…"
"authentication": "eyJhbGciOi…"
"reason": "{client:'drive' op:'update'}"
}
Réponse
{
"wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg=="
}