Methode: wrap

Gibt den verschlüsselten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) und die zugehörigen Daten zurück.

Weitere Informationen finden Sie unter Daten verschlüsseln und entschlüsseln.

HTTP-Anfrage

POST https://KACLS_URL/wrap

Ersetzen Sie KACLS_URL durch die URL des Key Access Control List Service (KACLS).

Pfadparameter

Keine.

Anfragetext

Der Anfragetext enthält Daten mit folgender Struktur:

JSON-Darstellung
{ "authentication": string, "authorization": string, "key": string, "reason": string }

Felder
`authentication`	`string` Ein vom Identitätsanbieter ausgestelltes JWT, das angibt, wer der Nutzer ist. Weitere Informationen finden Sie unter Authentifizierungstokens.
`authorization`	`string` Ein JWT, das bestätigt, dass der Nutzer einen Schlüssel für `resource_name` umschließen darf. Weitere Informationen finden Sie unter Autorisierungstokens.
`key`	`string` Der base64-codierte DEK. Maximale Größe: 128 Bytes.
`reason`	`string (UTF-8)` Ein Passthrough-JSON-String, der zusätzlichen Kontext zum Vorgang enthält. Das bereitgestellte JSON sollte bereinigt werden, bevor es angezeigt wird. Maximale Größe: 1 KB.

Antworttext

Bei Erfolg gibt diese Methode ein undurchsichtiges binäres Objekt zurück, das von Google Workspace zusammen mit dem verschlüsselten Objekt gespeichert und bei allen nachfolgenden Vorgängen zum Entschlüsseln des Schlüssels unverändert gesendet wird.

Wenn der Vorgang fehlschlägt, sollte eine strukturierte Fehlerantwort zurückgegeben werden.

Das binäre Objekt sollte die einzige Kopie des verschlüsselten DEK enthalten. Implementierungsspezifische Daten können darin gespeichert werden.

Speichern Sie das DEK nicht im KACLS-System (Key Access Control List Service), sondern verschlüsseln Sie es und geben Sie es im Objekt „wrapped_key“ zurück. So werden Abweichungen bei der Gültigkeitsdauer zwischen dem Dokument und seinen Schlüsseln verhindert. So kann beispielsweise sichergestellt werden, dass die Daten des Nutzers vollständig gelöscht werden, wenn er dies anfordert, oder dass frühere Versionen, die aus einer Sicherung wiederhergestellt wurden, entschlüsselt werden können.

JSON-Darstellung
{ "wrapped_key": string }

Felder

Felder
`wrapped_key`	`string` Das base64-codierte binäre Objekt. Maximale Größe: 1 KB.

wrapped_key

string

Das base64-codierte binäre Objekt. Maximale Größe: 1 KB.

Beispiel

In diesem Beispiel finden Sie eine Beispielanfrage und ‑antwort für die Methode wrap.

Anfrage

POST https://mykacls.example.com/v1/wrap

{
   "key":"wHrlNOTI9mU6PBdqiq7EQA==",
   "authorization": "eyJhbGciOi…"
   "authentication": "eyJhbGciOi…"
   "reason": "{client:'drive' op:'update'}"
}

Antwort

{
    "wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg=="
}