Restreindre les suites de chiffrement TLS
Cette page explique comment empêcher l'accès aux ressources Google Cloud en refusant les requêtes effectuées à l'aide de certaines suites de chiffrement TLS (Transport Layer Security) moins sécurisées.
Présentation
Google Cloud est compatible avec plusieurs suites de chiffrement TLS. Pour répondre aux exigences de sécurité ou de conformité, vous pouvez refuser les requêtes des clients qui utilisent des suites de chiffrement TLS moins sécurisées.
Cette fonctionnalité est fournie par la contrainte de règle d'administration gcp.restrictTLSCipherSuites.
La contrainte peut être appliquée aux organisations, aux dossiers ou aux projets dans la hiérarchie des ressources.
Vous pouvez utiliser la contrainte gcp.restrictTLSCipherSuites comme liste d'autorisation ou comme liste de refus :
- Liste d'autorisation : autorise un ensemble spécifique de suites de chiffrement. Toutes les autres sont refusées.
- Liste de refus : refuse un ensemble spécifique de suites de chiffrement. Toutes les autres sont autorisées.
En raison du comportement de l'évaluation de la hiérarchie des règles d'administration, la contrainte "Restreindre les suites de chiffrement TLS" s'applique au nœud de ressource spécifié et à tous ses enfants. Par exemple, si vous n'autorisez que certaines suites de chiffrement TLS pour une organisation, cela s'applique également à tous les dossiers et projets (enfants) qui dépendent de cette organisation.
Avant de commencer
Pour obtenir les autorisations nécessaires pour définir, modifier ou supprimer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Définir la règle d'administration
La contrainte "Limiter les suites de chiffrement TLS" est un type de contrainte de liste. Vous pouvez ajouter et supprimer des suites de chiffrement dans les listes allowed_values ou denied_values d'une contrainte "Restreindre les suites de chiffrement TLS". Pour éviter que les règles d'administration ne soient trop restrictives et pour simplifier leur gestion, utilisez des groupes de valeurs. Les groupes de valeurs sont des suites de chiffrement TLS recommandées et sélectionnées par Google.
Console
Ouvrez la page Règles d'administration dans la console Google Cloud .
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, sélectionnez la ressource pour laquelle vous souhaitez définir la règle d'administration.
Sélectionnez la contrainte Restreindre les suites de chiffrement TLS dans la liste de la page Règles d'administration.
Pour mettre à jour la règle d'administration pour cette ressource, cliquez sur Gérer la règle.
Sur la page Modifier, sélectionnez Personnaliser.
Sous Application des règles, sélectionnez une option d'application :
Pour fusionner et évaluer vos règles d'administration ensemble, sélectionnez Fusionner avec le parent. Pour en savoir plus sur l'héritage et la hiérarchie des ressources, consultez Comprendre le processus d'évaluation hiérarchique.
Pour remplacer les règles héritées d'une ressource parente, sélectionnez Remplacer.
Cliquez sur Ajouter une règle.
Sous Valeurs de règles, sélectionnez Personnalisé.
Sous Type de règle, sélectionnez Autoriser pour créer une liste de suites de chiffrement autorisées ou Refuser pour créer une liste de suites de chiffrement refusées.
Sous Valeurs personnalisées, saisissez le préfixe
in:et une chaîne groupe de valeurs, puis appuyez sur Entrée.Par exemple,
in:NIST-800-52-recommended-ciphers. Vous pouvez saisir plusieurs chaînes de groupes de valeurs en cliquant sur Ajouter une valeur.Vous pouvez également saisir des chaînes de suites de chiffrement spécifiques à l'aide du préfixe
is:. Pour obtenir la liste des valeurs acceptées, consultez Suites de chiffrement compatibles.
Pour appliquer la règle, cliquez sur Définir la règle.
gcloud
Pour créer une règle d'administration qui applique la contrainte "Restreindre les suites de chiffrement TLS", créez un fichier YAML de règle qui référence la contrainte :
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Pour appliquer la règle d'administration contenant la contrainte, exécutez la commande suivante :
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Remplacez les éléments suivants :
RESOURCE_TYPEavecorganization,folderouproject.RESOURCE_IDpar l'ID de votre organisation, l'ID du dossier, l'ID du projet ou le numéro du projet.POLICY_PATHpar le chemin d'accès complet au fichier YAML contenant la règle d'administration.
Une réponse renvoie les résultats de la nouvelle règle d'administration :
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Groupes de valeurs
Les groupes de valeurs sont des collections de suites de chiffrement choisies par Google pour vous permettre de définir plus facilement les suites de chiffrement TLS préférées ou recommandées. Les groupes de valeurs incluent plusieurs suites de chiffrement et sont développés au fil du temps par Google. Vous n'avez pas besoin de modifier la règle de votre organisation pour tenir compte des nouvelles suites de chiffrement.
Pour utiliser des groupes de valeurs dans vos règles d'administration, ajoutez la chaîne in: à vos entrées en tant que préfixe. Pour en savoir plus sur l'utilisation des préfixes de valeurs, consultez la page Utiliser des contraintes.
Les noms de groupes de valeurs sont validés lors de l'appel permettant de définir la règle d'administration.
Si vous utilisez un nom de groupe non valide, le paramètre de règle ne sera pas appliqué.
Le tableau suivant contient la liste actuelle des groupes disponibles :
| Groupe | Détails | Membres directs |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Chiffrements recommandés par la CNSA 2.0 compatibles avec Google Cloud :in:CNSA-2.0-recommended-ciphers |
Valeurs :
|
| NIST-800-52-recommended-ciphers | Algorithmes de chiffrement recommandés par la norme NIST SP 800-52 et compatibles avec Google Cloud :in:NIST-800-52-recommended-ciphers |
Valeurs :
|
Suites de chiffrement compatibles
Voici la liste des suites de chiffrement compatibles avec Google Cloud.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Message d'erreur
Les services compatibles avec la contrainte "Restreindre les suites de chiffrement TLS" refusent les requêtes qui ne la respectent pas.
Exemple de message d'erreur
Le message d'erreur se présente ainsi :
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
Ce résultat inclut les valeurs suivantes :
PROJECT_NUMBER: numéro du projet hébergeant la ressource mentionnée dans la commande précédente.SERVICE_NAME: nom du service concerné bloqué par la règle "Restreindre les suites de chiffrement TLS".TLS_Cipher_Suite_X: suite de chiffrement TLS utilisée dans la requête.
Exemple de journal d'audit Cloud
Une entrée de journal d'audit est également générée pour optimiser la surveillance, les alertes ou le débogage. L'entrée de journal d'audit ressemble à l'exemple suivant :
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Tester la stratégie
Vous pouvez tester la contrainte de règle de restriction des suites de chiffrement TLS pour n'importe quel service concerné. L'exemple de commande curl suivant valide la restriction des suites de chiffrement TLS pour un trousseau de clés Cloud Key Management Service.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Remplacez les variables suivantes :
TLS_CIPHER_SUITE: nom de la suite de chiffrement TLS dans la convention de dénomination OpenSSL, par exempleECDHE-ECDSA-AES128-SHA, qui est le nom OpenSSL pourTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: nom du projet contenant le trousseau de clés
L'exemple de requête curl suivant montre PROJECT_ID défini sur my-project-id et TLS_CIPHER_SUITE défini sur ECDHE-ECDSA-AES128-SHA :
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Si la règle d'administration pour "my-project-id" est configurée pour refuser TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA , toute tentative d'accès aux ressources avec le chiffrement dans le projet soumis à des règles dans cet exemple de commande échoue.
Un message d'erreur semblable à l'exemple suivant s'affiche pour indiquer la raison de cet échec.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Créer une règle d'administration en mode dry run
Une règle d'administration en mode simulation est un type de règle d'administration pour lequel les cas de non-respect de la règle sont consignés dans le journal d'audit, mais les actions non conformes ne sont pas refusées. Vous pouvez créer une règle d'administration en mode simulation à l'aide de la contrainte de restriction de suite de chiffrement TLS pour surveiller son impact sur votre organisation avant d'appliquer la règle en direct. Pour en savoir plus, consultez Créer une règle d'administration en mode simulation.
Services compatibles
Les services suivants sont compatibles avec la fonctionnalité "Limiter les suites de chiffrement TLS". La contrainte s'applique à toutes les variantes du point de terminaison de l'API, y compris les points de terminaison mondiaux, locaux et régionaux. Pour en savoir plus, consultez la page Types de points de terminaison d'API.
| Produit | point de terminaison de l'API |
|---|---|
| API Gateway |
apigateway.googleapis.com |
| Clés API |
apikeys.googleapis.com |
| Access Context Manager |
accesscontextmanager.googleapis.com |
| Apigee |
apigee.googleapis.com |
| Hub d'API Apigee |
apihub.googleapis.com |
| API Apigee API Management |
apim.googleapis.com |
| API Apigee Connect |
apigeeconnect.googleapis.com |
| API Apigee portal |
apigeeportal.googleapis.com |
| API Apigee Registry |
apigeeregistry.googleapis.com |
| API App Config Manager |
appconfigmanager.googleapis.com |
| App Hub |
apphub.googleapis.com |
| App Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Assured Open Source Software |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Gestionnaire d'audits |
auditmanager.googleapis.com |
| API Authorization Toolkit |
authztoolkit.googleapis.com |
| Lot |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| Connexions BigQuery |
bigqueryconnection.googleapis.com |
| Règles de données BigQuery |
bigquerydatapolicy.googleapis.com |
| transfert de données BigQuery |
bigquerydatatransfer.googleapis.com |
| BigQuery Migration |
bigquerymigration.googleapis.com |
| Réservation BigQuery |
bigqueryreservation.googleapis.com |
| API BigQuery Saved Query |
bigquery-sq.googleapis.com |
| Stockage BigQuery |
bigquerystorage.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Autorisation binaire |
binaryauthorization.googleapis.com |
| Blockchain Analytics |
blockchain.googleapis.com |
| Blockchain Node Engine |
blockchainnodeengine.googleapis.com |
| Blockchain Validator Manager |
blockchainvalidatormanager.googleapis.com |
| Planificateur de capacité |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Gestionnaire de certificats |
certificatemanager.googleapis.com |
| Inventaire des éléments cloud |
cloudasset.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| API Cloud Commerce Producer |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| API Cloud Controls Partner |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| API Cloud Healthcare |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Cloud Intrusion Detection System |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| API Cloud Natural Language |
language.googleapis.com |
| Cloud Next Generation Firewall Essentials |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| API Cloud OS Login |
oslogin.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com |
| Cloud SQL |
sqladmin.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com networksecurity.googleapis.com |
| API Cloud Support |
cloudsupport.googleapis.com |
| API Cloud Tool Results |
toolresults.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| API Commerce Agreement Publishing |
commerceagreementpublishing.googleapis.com |
| API Commerce Business Enablement |
commercebusinessenablement.googleapis.com |
| API Commerce Price Management |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Informatique confidentielle |
confidentialcomputing.googleapis.com |
| Connecter |
gkeconnect.googleapis.com |
| Passerelle Connect |
connectgateway.googleapis.com |
| API Contact Center AI Platform |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| API Content Warehouse |
contentwarehouse.googleapis.com |
| API Continuous Validation |
continuousvalidation.googleapis.com |
| API Data Labeling |
datalabeling.googleapis.com |
| API Data Security Posture Management |
dspm.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Catalogue universel Dataplex |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc on GDC |
dataprocgdc.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| API Distributed Cloud Edge Container |
edgecontainer.googleapis.com |
| API Distributed Cloud Edge Network |
edgenetwork.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Contacts essentiels |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com |
| Filestore |
file.googleapis.com |
| API Financial Services |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Règles de sécurité Firebase |
firebaserules.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| API GKE Enterprise Edge |
anthosedge.googleapis.com |
| Hub (parc) |
gkehub.googleapis.com |
| GKE Multi-cloud |
gkemulticloud.googleapis.com |
| API GKE On-Prem |
gkeonprem.googleapis.com |
| API Gemini pour Google Cloud |
cloudaicompanion.googleapis.com |
| Google Cloud API |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Centre de migration Google Cloud |
migrationcenter.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com configdelivery.googleapis.com |
| Solution SIEM pour les opérations de sécurité Google |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| API Google Security Operations Partner |
chroniclepartner.googleapis.com |
| Modules complémentaires Google Workspace |
gsuiteaddons.googleapis.com |
| Identity and Access Management |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Flux immersif |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Integration Connectors |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| API Live Stream |
livestream.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| BigQuery Engine pour Apache Flink |
managedflink.googleapis.com |
| API Managed Kafka |
managedkafka.googleapis.com |
| Gestion du service |
servicemanagement.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore pour Memcached |
memcache.googleapis.com |
| Memorystore pour Redis |
redis.googleapis.com |
| API Message Streams |
messagestreams.googleapis.com |
| API Microservices |
microservices.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Niveaux de service réseau |
compute.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Oracle Database@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Policy Analyzer |
policyanalyzer.googleapis.com |
| Policy Troubleshooter |
policytroubleshooter.googleapis.com |
| Déploiement progressif |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Outil de recommandation |
recommender.googleapis.com |
| Remote Build Execution |
remotebuildexecution.googleapis.com |
| API Retail |
retail.googleapis.com |
| Cyber Insurance Hub |
riskmanager.googleapis.com |
| API SaaS Service Management |
saasservicemgmt.googleapis.com |
| API SecLM |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| API Service Account Credentials |
iamcredentials.googleapis.com |
| Annuaire des services |
servicedirectory.googleapis.com |
| Service Networking |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Speech-to-Text |
speech.googleapis.com |
| Storage Insights |
storageinsights.googleapis.com |
| Service de transfert de stockage |
storagebatchoperations.googleapis.com |
| Text-to-Speech |
texttospeech.googleapis.com |
| API Timeseries Insights |
timeseriesinsights.googleapis.com |
| API Transcoder |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| API Vertex AI |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI in Firebase |
firebasevertexai.googleapis.com |
| Cloud privé virtuel (VPC) |
compute.googleapis.com |
| API Video Search |
cloudvideosearch.googleapis.com |
| API Video Stitcher |
videostitcher.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com |
| API Workload Certificate |
workloadcertificate.googleapis.com |
Services incompatibles
La contrainte de règle d'administration "Restreindre les suites de chiffrement TLS" ne s'applique pas aux services suivants :
- App Engine (
*.appspot.com) - Fonctions Cloud Run (
*.cloudfunctions.net), - Cloud Run (
*.run.app) - Private Service Connect
- Domaines personnalisés
Pour restreindre les suites de chiffrement TLS pour ces services, utilisez Cloud Load Balancing avec la règle de sécurité SSL.
Préférence de la suite de chiffrementGoogle Cloud
Les points de terminaison des services compatibles privilégient AES-256 par rapport à AES-128 et à ChaCha20. Les clients compatibles avec AES-256 devraient pouvoir négocier avec succès sans nécessiter de modification de la configuration.