TLS-Cipher-Suites einschränken
Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Google Cloud Ressourcen verhindern können, indem Sie Anfragen mit bestimmten weniger sicheren TLS-Chiffren (Transport Layer Security) ablehnen.
Übersicht
Google Cloud unterstützt mehrere TLS-Chiffrensammlungen. Um Sicherheits- oder Compliance-Anforderungen zu erfüllen, können Sie Anfragen von Clients ablehnen, die weniger sichere TLS-Chiffrensammlungen verwenden.
Diese Funktion wird durch die gcp.restrictTLSCipherSuites
Einschränkung der Organisationsrichtlinie bereitgestellt.
Die Einschränkung kann auf Organisationen, Ordner oder Projekte in der Ressourcenhierarchie angewendet werden.
Sie können die Einschränkung gcp.restrictTLSCipherSuites entweder als Zulassungs- oder als Sperrliste verwenden:
- Zulassungsliste: Damit wird eine bestimmte Gruppe von Chiffrensätzen zugelassen. Alle anderen werden abgelehnt.
- Deny-Liste: Mit dieser Liste werden bestimmte Cipher Suites abgelehnt. Alle anderen sind zulässig.
Aufgrund des Verhaltens der Hierarchiebewertung der Organisationsrichtlinie gilt die Einschränkung „TLS-Cipher-Suites einschränken“ für den angegebenen Ressourcenknoten und alle untergeordneten Elemente. Wenn Sie beispielsweise nur bestimmte TLS-Chiffrenfolgen für eine Organisation zulassen, gilt dies auch für alle Ordner und Projekte (untergeordnete Elemente), die von dieser Organisation abstammen.
Hinweise
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Festlegen, Ändern oder Löschen von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Organisationsrichtlinie festlegen
Die Einschränkung „TLS-Cipher-Suites beschränken“ ist eine Listeneinschränkung. Sie haben die Möglichkeit, Cipher-Suites zu den Listen allowed_values und denied_values einer Einschränkung der TLS-Cipher-Suites hinzuzufügen und daraus zu entfernen. Verwenden Sie Wertgruppen, um zu verhindern, dass Organisationsrichtlinien zu restriktiv sind, und um die Richtlinienverwaltung zu vereinfachen. Wertgruppen sind von Google empfohlene TLS-Chiffrensammlungen.
Console
Öffnen Sie in der Google Cloud Console die Seite Organisationsrichtlinien.
Klicken Sie oben auf der Seite auf Projektauswahl.
Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.
Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung TLS-Cipher-Suites einschränken aus der Liste aus.
Klicken Sie auf Richtlinie verwalten, um die Organisationsrichtlinie für diese Ressource zu aktualisieren.
Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.
Wählen Sie unter Richtlinienerzwingung eine Erzwingungsoption aus:
Wählen Sie Mit übergeordneter Ressource zusammenführen aus, um die Organisationsrichtlinien zusammenzuführen und zu evaluieren. Weitere Informationen zur Übernahme und zur Ressourcenhierarchie finden Sie unter Informationen zu Evaluierungen der Hierarchie.
Wählen Sie Ersetzen aus, um Richtlinien zu überschreiben, die von einer übergeordneten Ressource übernommen wurden.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.
Wählen Sie unter Richtlinientyp die Option Zulassen aus, um eine Liste der zulässigen Chiffrenfolgen zu erstellen, oder Ablehnen, um eine Liste der abgelehnten Chiffrenfolgen zu erstellen.
Geben Sie unter Benutzerdefinierte Werte das Präfix
in:und einen String für die Wertgruppe ein und drücken Sie die Eingabetaste.Beispiel:
in:NIST-800-52-recommended-ciphers. Sie können mehrere Strings für Wertgruppen eingeben, indem Sie auf Wert hinzufügen klicken.Sie können auch mit dem Präfix
is:bestimmte Strings für Chiffrengruppen eingeben. Eine Liste der unterstützten Werte finden Sie unter Unterstützte Chiffren-Suites.
Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.
gcloud
Wenn Sie eine Organisationsrichtlinie erstellen möchten, die die Einschränkung „TLS-Chiffrensuites einschränken“ erzwingt, erstellen Sie eine YAML-Richtliniendatei, die auf die Einschränkung verweist:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Führen Sie den folgenden Befehl aus, um die Organisationsrichtlinie mit der Einschränkung zu erzwingen:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Ersetzen Sie Folgendes:
RESOURCE_TYPEmitorganization,folderoderproject.RESOURCE_IDdurch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer.POLICY_PATHdurch den vollständigen Pfad zur YAML-Datei mit der Organisationsrichtlinie.
In einer Antwort werden die Ergebnisse der neuen Organisationsrichtlinie zurückgegeben:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Wertgruppen
Wertgruppen sind Sammlungen von Cipher Suites, die von Google ausgewählt wurden, um das Festlegen bevorzugter oder empfohlener TLS-Cipher Suites zu vereinfachen. Wertgruppen umfassen mehrere Chiffren-Suites und werden von Google im Laufe der Zeit erweitert. Sie müssen Ihre Organisationsrichtlinien nicht ändern, um die neuen Chiffrenfolgen zu berücksichtigen.
Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in: voran. Weitere Informationen zum Verwenden von Wertpräfixen finden Sie in diesem Artikel.
Namen von Wertgruppen werden beim Festlegen der Organisationsrichtlinie überprüft.
Wenn Sie einen ungültigen Gruppennamen verwenden, schlägt die Richtlinieneinstellung fehl.
In der folgenden Tabelle sind die aktuellen verfügbaren Gruppen aufgeführt:
| Gruppe | Details | Direkte Mitglieder |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Von Google Cloud unterstützte, von CNSA 2.0 empfohlene Chiffren:in:CNSA-2.0-recommended-ciphers |
Werte:
|
| NIST-800-52-recommended-ciphers | Von NIST SP 800-52 empfohlene Chiffren, die von Google Cloud unterstützt werden:in:NIST-800-52-recommended-ciphers |
Werte:
|
Unterstützte Cipher Suites
Dies ist die Liste der von Google Cloudunterstützten Chiffresammlungen.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Fehlermeldung
Dienste, die die Einschränkung „TLS-Cipher-Suites beschränken“ unterstützen, lehnen Anfragen ab, die gegen die Einschränkung verstoßen.
Beispiel für Fehlermeldung
Die Fehlermeldung sieht in etwa so aus:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
Diese Ausgabe enthält die folgenden Werte:
PROJECT_NUMBER: die Projektnummer des Projekts, in dem die im vorherigen Befehl angegebene Ressource gehostet wird.SERVICE_NAME: der Name des betroffenen Dienstes, der durch die Richtlinie zum Einschränken von TLS-Cipher-Suites blockiert wurde.TLS_Cipher_Suite_X: die in der Anfrage verwendete TLS-Chiffrensammlung.
Beispiel für ein Cloud-Audit-Log
Außerdem wird ein Audit-Log-Eintrag zur weiteren Überwachung, Benachrichtigung oder Fehlerbehebung generiert. Der Audit-Logeintrag sieht in etwa so aus:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Richtlinie testen
Sie können die Einschränkung der TLS-Chiffrenrichtlinie für jeden in den Geltungsbereich fallenden Dienst testen. Im folgenden Beispiel wird mit dem curl-Befehl die Einschränkung der TLS-Chiffrenfolgen für einen Cloud Key Management Service-Schlüsselring überprüft.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Ersetzen Sie die folgenden Variablen:
TLS_CIPHER_SUITE: Der Name der TLS-Chiffrensuite in der OpenSSL-Benennungskonvention, z. B.ECDHE-ECDSA-AES128-SHA, der OpenSSL-Name fürTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: Name des Projekts, das den Schlüsselbund enthält
In der folgenden Beispiel-curl-Anfrage ist PROJECT_ID auf my-project-id und TLS_CIPHER_SUITE auf ECDHE-ECDSA-AES128-SHA festgelegt:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Wenn die Organisationsrichtlinie für „my-project-id“ so konfiguriert ist, dass TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA abgelehnt wird, schlägt jeder Versuch, mit der Chiffre auf Ressourcen im richtlinienbeschränkten Projekt in diesem Beispielbefehl zuzugreifen, fehl.
Es wird eine Fehlermeldung zurückgegeben, die den Grund für diesen Fehler beschreibt. Sie sieht in etwa so aus:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Organisationsrichtlinie im Probelaufmodus erstellen
Eine Organisationsrichtlinie im Probelaufmodus ist eine Art von Organisationsrichtlinie, bei der Verstöße gegen die Richtlinie im Audit-Log protokolliert, die betreffenden Aktionen aber nicht abgelehnt werden. Sie können eine Organisationsrichtlinie im Modus „Probelauf“ mit der Einschränkung „Einschränkung von TLS-Chiffrenfolgen“ erstellen, um zu sehen, wie sich die Richtlinie auf Ihre Organisation auswirken würde, bevor Sie sie erzwingen. Weitere Informationen finden Sie unter Organisationsrichtlinie im Modus „Probelauf“ erstellen.
Unterstützte Dienste
Die folgenden Dienste unterstützen die Option „TLS-Cipher-Suites beschränken“. Die Einschränkung gilt für alle Varianten des API-Endpunkt, einschließlich globaler, standortbezogener und regionaler Endpunkte. Weitere Informationen finden Sie auf der Seite API-Endpunkttypen.
| Produkt | API-Endpunkt |
|---|---|
| API Gateway |
apigateway.googleapis.com |
| API-Schlüssel |
apikeys.googleapis.com |
| Access Context Manager |
accesscontextmanager.googleapis.com |
| Apigee |
apigee.googleapis.com |
| Apigee API-Hub |
apihub.googleapis.com |
| Apigee API Management API |
apim.googleapis.com |
| Apigee Connect API |
apigeeconnect.googleapis.com |
| Apigee Portal API |
apigeeportal.googleapis.com |
| Apigee Registry API |
apigeeregistry.googleapis.com |
| App Config Manager API |
appconfigmanager.googleapis.com |
| Application Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artefaktanalyse |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Assured Open Source Software |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Audit Manager |
auditmanager.googleapis.com |
| Authorization Toolkit API |
authztoolkit.googleapis.com |
| Batch |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| BigQuery Connections |
bigqueryconnection.googleapis.com |
| BigQuery-Datenrichtlinie |
bigquerydatapolicy.googleapis.com |
| BigQuery Datenübertragung |
bigquerydatatransfer.googleapis.com |
| BigQuery-Migration |
bigquerymigration.googleapis.com |
| BigQuery-Reservierung |
bigqueryreservation.googleapis.com |
| BigQuery Saved Query API |
bigquery-sq.googleapis.com |
| BigQuery-Speicher |
bigquerystorage.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Binärautorisierung |
binaryauthorization.googleapis.com |
| Blockchain Analytics |
blockchain.googleapis.com |
| Blockchain Node Engine |
blockchainnodeengine.googleapis.com |
| Blockchain Validator Manager |
blockchainvalidatormanager.googleapis.com |
| Kapazitätsplaner |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Zertifikatmanager |
certificatemanager.googleapis.com |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| Cloud Commerce Producer API |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| Cloud Controls Partner API |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| Cloud Healthcare API |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Cloud Intrusion Detection System |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| Cloud Natural Language API |
language.googleapis.com |
| Cloud Next Generation Firewall – Grundlagen |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud OS Login API |
oslogin.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com |
| Cloud SQL |
sqladmin.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com networksecurity.googleapis.com |
| Cloud Support API |
cloudsupport.googleapis.com |
| Cloud Tool Results API |
toolresults.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| Commerce Agreement Publishing API |
commerceagreementpublishing.googleapis.com |
| Commerce Business Enablement API |
commercebusinessenablement.googleapis.com |
| Commerce Price Management API |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Confidential Computing |
confidentialcomputing.googleapis.com |
| Verbinden |
gkeconnect.googleapis.com |
| Connect-Gateway |
connectgateway.googleapis.com |
| Contact Center AI Platform API |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| Content Warehouse API |
contentwarehouse.googleapis.com |
| Continuous Validation API |
continuousvalidation.googleapis.com |
| Data Labeling API |
datalabeling.googleapis.com |
| Data Security Posture Management API |
dspm.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataproc on GDC |
dataprocgdc.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| Distributed Cloud Edge Container API |
edgecontainer.googleapis.com |
| Distributed Cloud Edge Network API |
edgenetwork.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Wichtige Kontakte |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com |
| Filestore |
file.googleapis.com |
| Financial Services API |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Firebase-Sicherheitsregeln |
firebaserules.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| GKE Enterprise Edge API |
anthosedge.googleapis.com |
| GKE Multi-Cloud |
gkemulticloud.googleapis.com |
| GKE On-Prem API |
gkeonprem.googleapis.com |
| Gemini for Google Cloud API |
cloudaicompanion.googleapis.com |
| Google Cloud API |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Google Cloud Migration Center |
migrationcenter.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com configdelivery.googleapis.com |
| Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| Google Security Operations Partner API |
chroniclepartner.googleapis.com |
| Google Workspace-Add-ons |
gsuiteaddons.googleapis.com |
| Identity and Access Management |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Integration Connectors |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| Live Stream API |
livestream.googleapis.com |
| BigQuery Engine for Apache Flink |
managedflink.googleapis.com |
| Managed Kafka API |
managedkafka.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore for Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| Message Streams API |
messagestreams.googleapis.com |
| Microservices API |
microservices.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Netzwerkdienststufen |
compute.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Oracle-Datenbank@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Policy Analyzer |
policyanalyzer.googleapis.com |
| Richtlinien-Fehlerbehebung |
policytroubleshooter.googleapis.com |
| Progressives Roll-out |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Recommender |
recommender.googleapis.com |
| Remote Build Execution |
remotebuildexecution.googleapis.com |
| Retail API |
retail.googleapis.com |
| Cyber Insurance Hub |
riskmanager.googleapis.com |
| SaaS Service Management API |
saasservicemgmt.googleapis.com |
| SecLM API |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| Service Account Credentials API |
iamcredentials.googleapis.com |
| Service Directory |
servicedirectory.googleapis.com |
| Dienstnetzwerk |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Speech-to-Text |
speech.googleapis.com |
| Storage Insights |
storageinsights.googleapis.com |
| Storage Transfer Service |
storagebatchoperations.googleapis.com |
| Text-to-Speech |
texttospeech.googleapis.com |
| Timeseries Insights API |
timeseriesinsights.googleapis.com |
| Transcoder API |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| Vertex AI API |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI in Firebase |
firebasevertexai.googleapis.com |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
| Video Search API |
cloudvideosearch.googleapis.com |
| Video Stitcher API |
videostitcher.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com |
| Workload Certificate API |
workloadcertificate.googleapis.com |
Nicht unterstützte Dienste
Die Einschränkung der Organisationsrichtlinie zum Einschränken von TLS-Cipher-Suites gilt nicht für die folgenden Dienste:
- App Engine (
*.appspot.com) - Cloud Run-Funktionen (
*.cloudfunctions.net), - Cloud Run (
*.run.app) - Private Service Connect
- Benutzerdefinierte Domains
Wenn Sie TLS-Chiffrenfolgen für diese Dienste einschränken möchten, verwenden Sie Cloud Load Balancing zusammen mit der SSL-Sicherheitsrichtlinie.
Google Cloud Einstellung für die Cipher Suite
Bei Endpunkten für unterstützte Dienste wird AES-256 vor AES-128 und vor ChaCha20 priorisiert. Clients, die AES-256 unterstützen, sollten eine erfolgreiche Verhandlung ohne Konfigurationsänderungen ermöglichen.