Metodo: riavvolgimento

Questo metodo consente di eseguire la migrazione dal precedente servizio Key Access Control List (KACLS1) al più recente KACLS (KACLS2). È necessaria una chiave di crittografia dei dati (DEK, Data Encryption Key) aggregato con l'API wrap di KACLS1 e restituisce un DEK con wrapping con l'API wrap di KACLS2.

Richiesta HTTP

POST https://KACLS_URL/rewrap

Sostituisci KACLS_URL con l'elenco di controllo dell'accesso alle chiavi URL del servizio (KACLS).

Parametri del percorso

Nessuno.

Corpo della richiesta

Il corpo della richiesta contiene dati con la seguente struttura:

Rappresentazione JSON
{
  "authorization": string,
  "original_kacls_url": string,
  "reason": string,
  "wrapped_key": string
}
Campi
authorization

string

Un JWT che asserisce che l'utente è autorizzato a eseguire l'unwrapping di una chiave per resource_name. Consulta i token di autorizzazione.

original_kacls_url

string

URL del KACLS dell'attuale wrapped_key.

reason

string (UTF-8)

Una stringa JSON passthrough che fornisce contesto aggiuntivo sull'operazione. Il JSON fornito deve essere sanitizzato prima di essere visualizzato. Dimensione massima: 1 kB.

wrapped_key

string

L'oggetto binario base64 restituito da wrap.

Corpo della risposta

In caso di esito positivo, questo metodo restituisce un oggetto binario opaco che verrà archiviato da Google Workspace insieme all'oggetto criptato e inviato così com'è in qualsiasi dell'operazione di unwrapping della chiave. Dovrebbe anche restituire il codice resource_key_hash.

Se l'operazione non riesce, risposta a errore strutturato da restituire.

L'oggetto binario deve contenere l'unica copia della DEK criptata possono essere archiviati dati specifici dell'implementazione.

Non archiviare la DEK nel tuo sistema KACLS, ma criptala e restituila l'oggetto wrapped_key. In questo modo si evitano discrepanze tra documento e le sue chiavi. Ad esempio, per garantire che i dati dell'utente siano completamente o per assicurarsi che le versioni precedenti siano state ripristinate da un backup saranno decriptabili.

Google non invierà richieste di eliminazione ai KACLS quando gli oggetti vengono eliminati.

Rappresentazione JSON
{
  "resource_key_hash": string,
  "wrapped_key": string
}
Campi
resource_key_hash

string

con codifica base64. Vedi dell'hash della chiave della risorsa.

wrapped_key

string

L'oggetto binario con codifica base64. Dimensione massima: 1 kB.

Esempio

Questo esempio fornisce una richiesta e una risposta di esempio per il metodo rewrap.

Richiesta

POST https://mykacls.example.com/v1/rewrap

{
   "wrapped_key": "7qTh6Mp+svVwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
   "authorization": "eyJhbGciOi...",
   "original_kacls_url": "https://<kacl1_base_url>",
   "reason": "{client:'drive' op:'read'}"
}

Risposta

{
    "wrapped_key": "3qTh6Mp+svPwYPlnZMyuj8WHTrM59wl/UI50jo61Qt/QubZ9tfsUc1sD62xdg3zgxC9quV4r+y7AkbfIDhbmxGqP64pWbZgFzOkP0JcSn+1xm/CB2E5IknKsAbwbYREGpiHM3nzZu+eLnvlfbzvTnJuJwBpLoPYQcnPvcgm+5gU1j1BjUaNKS/uDn7VbVm7hjbKA3wkniORC2TU2MiHElutnfrEVZ8wQfrCEpuWkOXs98H8QxUK4pBM2ea1xxGj7vREAZZg1x/Ci/E77gHxymnZ/ekhUIih6Pwu75jf+dvKcMnpmdLpwAVlE1G4dNginhFVyV/199llf9jmHasQQuaMFzQ9UMWGjA1Hg2KsaD9e3EL74A5fLkKc2EEmBD5v/aP+1RRZ3ISbTOXvxqYIFCdSFSCfPbUhkc9I2nHS0obEH7Q7KiuagoDqV0cTNXWfCGJ1DtIlGQ9IA6mPDAjX8Lg==",
    "resource_key_hash": "SXOyPekBAUI95zuZSuJzsBlK4nO5SuJK4nNCPem5SuI="
}