Se usó la API de Cloud Translation para traducir esta página.

Tokens de autorización

Es un token portador (JWT: RFC 7516) que emite Google para verificar que el emisor tenga autorización para encriptar o desencriptar un recurso.

Para evitar abusos, el servicio de lista de control de acceso de claves (KACLS) debe verificar que el llamador tenga autorización para encriptar el objeto (archivo o documento) antes de unir la clave y desencriptarla antes de unir la DEK.

Token de autorización para la encriptación del cliente (CSE) de Documentos y Drive, Calendario y Meet

Representación JSON
{ "aud": string, "email": string, "email_type": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string }

Campos
`aud`	`string` El público, tal como lo identifica Google. Se debe verificar en función de la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`email_type`	`string` Contiene uno de los siguientes valores: `google`: Este correo electrónico pertenece a una Cuenta de Google. `google-visitor`: Este correo electrónico no pertenece a una Cuenta de Google, pero Google lo verificó con un PIN. `customer-idp`: Este correo electrónico no pertenece a una Cuenta de Google, pero el correo electrónico del usuario se extrajo con un IdP configurado por el cliente. Se puede anular el reclamo. En ese caso, el valor predeterminado es "google".
`exp`	`string` Hora de vencimiento
`iat`	`string` Es el tiempo de emisión.
`iss`	`string` El emisor del token. Se debe validar en función del conjunto de emisores de autenticación de confianza.
`kacls_url`	`string` La URL base de KACLS configurada, que se usa para evitar ataques de intermediario (PITM).
`perimeter_id`	`string (UTF-8)` Es un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se verificará cuando se descomprima. Tamaño máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Es un identificador para el objeto encriptado por la DEK. Tamaño máximo: 128 bytes.
`role`	`string` Contiene uno de los siguientes valores: `reader`: Solo se permite llamar a `unwrap`. `writer`: Se permite llamar a `wrap` y a `unwrap`.

Token de autorización para el CSE de Gmail

Representación JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "message_id": string, "iss": string, "kacls_url": string, "perimeter_id": string, "resource_name": string, "role": string, "spki_hash": string, "spki_hash_algorithm": string }

Representación JSON

{
  "aud": string,
  "email": string,
  "exp": string,
  "iat": string,
  "message_id": string,
  "iss": string,
  "kacls_url": string,
  "perimeter_id": string,
  "resource_name": string,
  "role": string,
  "spki_hash": string,
  "spki_hash_algorithm": string
}

Campos
`aud`	`string` El público, tal como lo identifica Google. Se debe verificar en función de la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`exp`	`string` Hora de vencimiento
`iat`	`string` Es el tiempo de emisión.
`message_id`	`string` Es un identificador para el mensaje en el que se realiza la desencriptación o la firma. Se usa como motivo del cliente para fines de auditoría.
`iss`	`string` El emisor del token. Se debe validar en función del conjunto de emisores de autenticación de confianza.
`kacls_url`	`string` La URL base de KACLS configurada, que se usa para evitar ataques de intermediario (PITM).
`perimeter_id`	`string (UTF-8)` (Opcional) Es un valor vinculado a la ubicación del documento que se puede usar para elegir qué perímetro se verifica cuando se desenvuelve. Tamaño máximo: 128 bytes.
`resource_name`	`string (UTF-8)` Es un identificador para el objeto encriptado por la DEK. Tamaño máximo: 512 bytes.
`role`	`string` Contiene uno de los siguientes valores: `decrypter`: Puede desencriptar. `signer`: Puede firmar.
`spki_hash`	`string` Es el resumen codificado en base64 estándar del `SubjectPublicKeyInfo` codificado en DER de la clave privada a la que se accede.
`spki_hash_algorithm`	`string` Es el algoritmo que se usa para producir `spki_hash`. Puede ser `SHA-256`.

Token de autorización para el servicio de migración de KACLS

Representación JSON
{ "aud": string, "email": string, "exp": string, "iat": string, "iss": string, "kacls_url": string, "resource_name": string, "role": string }

Campos
`aud`	`string` El público, tal como lo identifica Google. Se debe verificar en función de la configuración local.
`email`	`string (UTF-8)` La dirección de correo electrónico del usuario.
`exp`	`string` Hora de vencimiento
`iat`	`string` Es el tiempo de emisión.
`iss`	`string` El emisor del token. Se debe validar en función del conjunto de emisores de autenticación de confianza.
`kacls_url`	`string` La URL de KACLS base configurada, que se usa para evitar ataques de intermediario (PITM).
`role`	`string` Contiene uno de los siguientes valores: `migrator`: Solo se permite llamar a `rewrap`. `verifier`: Solo se permite llamar a `digest`.