TLS-Cipher-Suites einschränken
Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Google Cloud Ressourcen verhindern können, indem Sie Anfragen ablehnen, die mit bestimmten weniger sicheren TLS-Cipher-Suites (Transport Layer Security) gestellt werden.
Übersicht
Google Cloud Unterstützung mehrerer TLS-Cipher Suites. Um Sicherheits- oder Compliance-Anforderungen zu erfüllen, können Sie Anfragen von Clients ablehnen, die weniger sichere TLS-Cipher-Suites verwenden.
Diese Funktion wird durch die gcp.restrictTLSCipherSuites-Einschränkung für Organisationsrichtlinien bereitgestellt.
Die Einschränkung kann auf Organisationen, Ordner oder Projekte in der Ressourcenhierarchie angewendet werden.
Sie können die Einschränkung gcp.restrictTLSCipherSuites entweder als Zulassungsliste oder als Sperrliste verwenden:
- Zulassungsliste: Ermöglicht eine bestimmte Gruppe von Chiffrierverfahren. Alle anderen werden abgelehnt.
- Deny-Liste: Bestimmte Cipher Suites werden abgelehnt. Alle anderen sind zulässig.
Aufgrund des Verhaltens der Evaluierung der Hierarchie von Organisationsrichtlinien gilt die Einschränkung „TLS-Cipher-Suites einschränken“ für den angegebenen Ressourcenknoten und alle untergeordneten Elemente. Wenn Sie beispielsweise nur bestimmte TLS-Cipher-Suites für eine Organisation zulassen, gilt dies auch für alle Ordner und Projekte (untergeordnete Elemente), die von dieser Organisation abstammen.
Hinweise
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Festlegen, Ändern oder Löschen von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Organisationsrichtlinie festlegen
Die Einschränkung „TLS-Cipher-Suites beschränken“ ist eine Art von Listeneinschränkung. Sie können Cipher-Suites zu den Listen allowed_values und denied_values einer Einschränkung für TLS-Cipher-Suites hinzufügen und daraus entfernen. Um zu verhindern, dass Organisationsrichtlinien zu restriktiv sind, und um die Richtlinienverwaltung zu vereinfachen, verwenden Sie Wertgruppen. Wertgruppen sind von Google zusammengestellte empfohlene TLS-Chiffrierverfahren.
Console
Öffnen Sie in der Google Cloud Console die Seite Organisationsrichtlinien.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.
Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung TLS-Cipher-Suites einschränken aus der Liste aus.
Zum Aktualisieren der Organisationsrichtlinie für diese Ressource klicken Sie auf Richtlinie verwalten.
Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.
Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus:
Wählen Sie Mit übergeordneter Ressource zusammenführen aus, um die Organisationsrichtlinien zusammenzuführen und zu evaluieren. Weitere Informationen zur Übernahme und zur Ressourcenhierarchie finden Sie unter Informationen zu Evaluierungen der Hierarchie.
Wählen Sie Ersetzen aus, um Richtlinien zu überschreiben, die von einer übergeordneten Ressource übernommen wurden.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.
Wählen Sie unter Richtlinientyp die Option Zulassen aus, um eine Liste zulässiger Chiffrierverfahren zu erstellen, oder Ablehnen, um eine Liste nicht zulässiger Chiffrierverfahren zu erstellen.
Geben Sie unter Benutzerdefinierte Werte das Präfix
in:und einen String für die Wertgruppe ein und drücken Sie die Eingabetaste.Beispiel:
in:NIST-800-52-recommended-ciphers. Sie können mehrere Wertgruppenstrings eingeben, indem Sie auf Wert hinzufügen klicken.Sie können auch bestimmte Chiffrierverfahren-Strings mit dem Präfix
is:eingeben. Eine Liste der unterstützten Werte finden Sie unter Unterstützte Cipher-Suites.
Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.
gcloud
Wenn Sie eine Organisationsrichtlinie erstellen möchten, die die Einschränkung „TLS-Chiffrierverfahren einschränken“ erzwingt, erstellen Sie eine YAML-Richtliniendatei, die auf die Einschränkung verweist:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Führen Sie den folgenden Befehl aus, um die Organisationsrichtlinie mit der Einschränkung zu erzwingen:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Ersetzen Sie Folgendes:
RESOURCE_TYPEmitorganization,folderoderproject.RESOURCE_IDdurch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer.POLICY_PATHmit dem vollständigen Pfad zur YAML-Datei mit der Organisationsrichtlinie.
In einer Antwort werden die Ergebnisse der neuen Organisationsrichtlinie zurückgegeben:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Wertgruppen
Wertgruppen sind Sammlungen von Cipher Suites, die von Google ausgewählt wurden, um das Festlegen bevorzugter oder empfohlener TLS-Cipher-Suites zu erleichtern. Wertgruppen umfassen mehrere Chiffrierverfahren und werden von Google im Laufe der Zeit erweitert. Sie müssen die Organisationsrichtlinie nicht ändern, um die neuen Chiffrierverfahren zu berücksichtigen.
Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran. Weitere Informationen zum Verwenden von Wertpräfixen finden Sie in diesem Artikel.
Namen von Wertegruppen werden beim Festlegen der Organisationsrichtlinie überprüft.
Wenn Sie einen ungültigen Gruppennamen verwenden, schlägt die Richtlinieneinstellung fehl.
In der folgenden Tabelle sind die aktuellen verfügbaren Gruppen aufgeführt:
| Gruppe | Details | Direkte Mitglieder |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Von Google Cloud unterstützte, für CNSA 2.0 empfohlene Chiffren:in:CNSA-2.0-recommended-ciphers |
Werte:
|
| NIST-800-52-recommended-ciphers | Von NIST SP 800-52 empfohlene Chiffren, die von Google Cloud unterstützt werden:in:NIST-800-52-recommended-ciphers |
Werte:
|
Unterstützte Cipher Suites
Dies ist die Liste der von Google Cloudunterstützten Chiffresammlungen.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Fehlermeldung
Dienste, die die Einschränkung „TLS-Cipher-Suites beschränken“ unterstützen, lehnen Anfragen ab, die gegen die Einschränkung verstoßen.
Beispiel für Fehlermeldung
Die Fehlermeldung hat ein Format, das dem folgenden Beispiel ähnelt:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
Diese Ausgabe enthält die folgenden Werte:
PROJECT_NUMBER: die Projektnummer, in der die im vorherigen Befehl erwähnte Ressource gehostet wird.SERVICE_NAME: Der Name des betroffenen Dienstes, der durch die Richtlinie zum Einschränken von TLS-Cipher-Suites blockiert wird.TLS_Cipher_Suite_X: Die im Request verwendete TLS-Cipher Suite.
Beispiel für ein Cloud-Audit-Log
Außerdem wird ein Audit-Log-Eintrag zur weiteren Überwachung, Benachrichtigung oder Fehlerbehebung generiert. Der Audit-Logeintrag sieht in etwa so aus:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Richtlinie testen
Sie können die Richtlinieneinschränkung für TLS-Cipher-Suites für jeden Service, der in den Anwendungsbereich fällt, testen. Mit dem folgenden curl-Befehl wird die Einschränkung von TLS-Cipher-Suites für einen Cloud Key Management Service-Schlüsselbund validiert.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Ersetzen Sie die folgenden Variablen:
TLS_CIPHER_SUITE: Der Name der TLS-Cipher Suite in der OpenSSL-Namenskonvention, z. B.ECDHE-ECDSA-AES128-SHA, der OpenSSL-Name fürTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: Name des Projekts, das den Schlüsselbund enthält
Im folgenden Beispiel für eine curl-Anfrage ist PROJECT_ID auf my-project-id und TLS_CIPHER_SUITE auf ECDHE-ECDSA-AES128-SHA festgelegt:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Wenn die Organisationsrichtlinie für „my-project-id“ so konfiguriert ist, dass TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA verweigert wird, schlägt jeder Versuch fehl, mit der Chiffre in diesem Beispielbefehl auf Ressourcen im richtlinienbeschränkten Projekt zuzugreifen.
Es wird eine Fehlermeldung ähnlich dem folgenden Beispiel zurückgegeben, die den Grund für diesen Fehler beschreibt.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Organisationsrichtlinie im Probelaufmodus erstellen
Eine Organisationsrichtlinie im Probelaufmodus ist eine Art von Organisationsrichtlinie, bei der Verstöße gegen die Richtlinie im Audit-Log protokolliert werden, die entsprechenden Aktionen jedoch nicht abgelehnt werden. Sie können eine Organisationsrichtlinie im Probelaufmodus mit der Einschränkung „TLS Cipher Suite Restriction“ (Einschränkung für TLS-Cipher-Suites) erstellen, um zu beobachten, wie sie sich auf Ihre Organisation auswirken würde, bevor Sie die aktive Richtlinie erzwingen. Weitere Informationen finden Sie unter Organisationsrichtlinie im Probelaufmodus erstellen.
Unterstützte Dienste
Die folgenden Dienste unterstützen die Funktion „TLS-Cipher-Suites beschränken“. Die Einschränkung gilt für alle Varianten des API-Endpunkt, einschließlich globaler, standortbezogener und regionaler Endpunkte. Weitere Informationen finden Sie auf der Seite API-Endpunkttypen.
| Produkt | API-Endpunkt |
|---|---|
| API Gateway |
apigateway.googleapis.com |
| API-Schlüssel |
apikeys.googleapis.com |
| Access Context Manager |
accesscontextmanager.googleapis.com |
| Apigee |
apigee.googleapis.com |
| Apigee API-Hub |
apihub.googleapis.com |
| Apigee API Management API |
apim.googleapis.com |
| Apigee Connect API |
apigeeconnect.googleapis.com |
| Apigee Portal API |
apigeeportal.googleapis.com |
| Apigee Registry API |
apigeeregistry.googleapis.com |
| App Config Manager API |
appconfigmanager.googleapis.com |
| App Hub |
apphub.googleapis.com |
| Application Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artefaktanalyse |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Assured Open Source Software |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Audit Manager |
auditmanager.googleapis.com |
| Authorization Toolkit API |
authztoolkit.googleapis.com |
| Batch |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| BigQuery-Verbindungen |
bigqueryconnection.googleapis.com |
| BigQuery-Datenrichtlinie |
bigquerydatapolicy.googleapis.com |
| BigQuery Datenübertragung |
bigquerydatatransfer.googleapis.com |
| BigQuery-Migration |
bigquerymigration.googleapis.com |
| BigQuery-Reservierung |
bigqueryreservation.googleapis.com |
| BigQuery Saved Query API |
bigquery-sq.googleapis.com |
| BigQuery-Speicher |
bigquerystorage.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Binärautorisierung |
binaryauthorization.googleapis.com |
| Blockchain Analytics |
blockchain.googleapis.com |
| Blockchain Node Engine |
blockchainnodeengine.googleapis.com |
| Blockchain Validator Manager |
blockchainvalidatormanager.googleapis.com |
| Kapazitätsplaner |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Zertifikatmanager |
certificatemanager.googleapis.com |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| Cloud Commerce Producer API |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| Cloud Controls Partner API |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| Cloud Healthcare API |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Cloud Intrusion Detection System |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| Cloud Natural Language API |
language.googleapis.com |
| Cloud Next Generation Firewall Essentials |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud OS Login API |
oslogin.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com |
| Cloud SQL |
sqladmin.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com networksecurity.googleapis.com |
| Cloud Support API |
cloudsupport.googleapis.com |
| Cloud Tool Results API |
toolresults.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| Commerce Agreement Publishing API |
commerceagreementpublishing.googleapis.com |
| Commerce Business Enablement API |
commercebusinessenablement.googleapis.com |
| Commerce Price Management API |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Confidential Computing |
confidentialcomputing.googleapis.com |
| Verbinden |
gkeconnect.googleapis.com |
| Connect-Gateway |
connectgateway.googleapis.com |
| Contact Center AI Platform API |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| Content Warehouse API |
contentwarehouse.googleapis.com |
| Continuous Validation API |
continuousvalidation.googleapis.com |
| Data Labeling API |
datalabeling.googleapis.com |
| Data Security Posture Management API |
dspm.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc on GDC |
dataprocgdc.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| Distributed Cloud Edge Container API |
edgecontainer.googleapis.com |
| Distributed Cloud Edge Network API |
edgenetwork.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Wichtige Kontakte |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com |
| Filestore |
file.googleapis.com |
| Financial Services API |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Firebase-Sicherheitsregeln |
firebaserules.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| GKE Enterprise Edge API |
anthosedge.googleapis.com |
| Hub (Flotte) |
gkehub.googleapis.com |
| GKE Multi-Cloud |
gkemulticloud.googleapis.com |
| GKE On-Prem API |
gkeonprem.googleapis.com |
| Gemini for Google Cloud API |
cloudaicompanion.googleapis.com |
| Google Cloud API |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Google Cloud Migration Center |
migrationcenter.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com configdelivery.googleapis.com |
| Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| Google Security Operations Partner API |
chroniclepartner.googleapis.com |
| Google Workspace-Add-ons |
gsuiteaddons.googleapis.com |
| Identity and Access Management |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Integration Connectors |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| Live Stream API |
livestream.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| BigQuery Engine for Apache Flink |
managedflink.googleapis.com |
| Managed Kafka API |
managedkafka.googleapis.com |
| Dienstverwaltung |
servicemanagement.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore for Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| Message Streams API |
messagestreams.googleapis.com |
| Microservices API |
microservices.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Netzwerkdienststufen |
compute.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Oracle-Datenbank@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Policy Analyzer |
policyanalyzer.googleapis.com |
| Richtlinien-Fehlerbehebung |
policytroubleshooter.googleapis.com |
| Progressiver Rollout |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Recommender |
recommender.googleapis.com |
| Remote Build Execution |
remotebuildexecution.googleapis.com |
| Retail API |
retail.googleapis.com |
| Cyber Insurance Hub |
riskmanager.googleapis.com |
| SaaS Service Management API |
saasservicemgmt.googleapis.com |
| SecLM API |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| Service Account Credentials API |
iamcredentials.googleapis.com |
| Service Directory |
servicedirectory.googleapis.com |
| Dienstnetzwerk |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Speech-to-Text |
speech.googleapis.com |
| Storage Insights |
storageinsights.googleapis.com |
| Storage Transfer Service |
storagebatchoperations.googleapis.com |
| Text-to-Speech |
texttospeech.googleapis.com |
| Timeseries Insights API |
timeseriesinsights.googleapis.com |
| Transcoder API |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| Vertex AI API |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI in Firebase |
firebasevertexai.googleapis.com |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
| Video Search API |
cloudvideosearch.googleapis.com |
| Video Stitcher API |
videostitcher.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com |
| Workload Certificate API |
workloadcertificate.googleapis.com |
Nicht unterstützte Dienste
Die Einschränkung der Organisationsrichtlinie zum Einschränken von TLS-Cipher-Suites gilt nicht für die folgenden Dienste:
- App Engine (
*.appspot.com) - Cloud Run-Funktionen (
*.cloudfunctions.net), - Cloud Run (
*.run.app) - Private Service Connect
- Benutzerdefinierte Domains
Wenn Sie TLS-Cipher-Suites für diese Dienste einschränken möchten, verwenden Sie Cloud Load Balancing zusammen mit einer SSL-Sicherheitsrichtlinie.
Google Cloud Cipher-Suite-Einstellung
Bei Endpunkten für unterstützte Dienste wird AES-256 vor AES-128 und AES-128 vor ChaCha20 priorisiert. Clients, die AES‑256 unterstützen, sollten die Verschlüsselung ohne Konfigurationsänderungen erfolgreich aushandeln können.