TLS 暗号スイートを制限する
このページでは、安全性の低い特定の Transport Layer Security(TLS)暗号スイートを使用して行われたリクエストを拒否することで、 Google Cloud リソースへのアクセスを防止する方法について説明します。
概要
Google Cloud は、複数の TLS 暗号スイートをサポートしています。セキュリティ要件またはコンプライアンス要件を満たすため、安全性の低い TLS 暗号スイートを使用しているクライアントからのリクエストを拒否する場合があります。
この機能は、gcp.restrictTLSCipherSuites
組織のポリシーの制約によって提供されています。この制約は、リソース階層内の組織、フォルダ、プロジェクトに適用できます。
gcp.restrictTLSCipherSuites 制約は、許可リストまたは拒否リストとして使用できます。
組織のポリシー階層の評価の動作により、TLS 暗号スイートの制限制約は指定されたリソースノードとそのすべての子に適用されます。たとえば、組織で特定の TLS 暗号スイートのみを許可すると、その組織の子孫であるすべてのフォルダとプロジェクト(子)にも適用されます。
始める前に
組織のポリシーの設定、変更、削除に必要な権限を取得するには、組織に対する組織のポリシー管理者 (roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
組織ポリシーの設定
TLS 暗号スイートを制限する制約は、リスト型制約の一種です。TLS 暗号スイートの制限制約の allowed_values リストまたは denied_values リストに対して、暗号スイートの追加または削除を行えます。組織のポリシーが過度に制限的になるのを防ぎ、ポリシー管理を簡素化するには、値グループを使用します。値グループは、Google が厳選した推奨 TLS 暗号スイートです。
コンソール
Google Cloud コンソールで [組織のポリシー] ページを開きます。
ページの上部にあるプロジェクト選択ツールを選択します。
プロジェクト選択ツールから、組織のポリシーを設定するリソースを選択します。
[組織のポリシー] ページのリストから、[TLS 暗号スイートを制限する] 制約を選択します。
このリソースの組織ポリシーを更新するには、[ポリシーを管理] をクリックします。
[編集] ページで、[カスタマイズ] を選択します。
[ポリシーの適用] で、適用オプションを選択します。
組織のポリシーを結合してまとめて評価するには、[親と結合する] を選択します。継承とリソース階層の詳細については、階層評価についてをご覧ください。
親リソースから継承されたポリシーをオーバーライドするには、[置換] を選択します。
[ルールを追加] をクリックします。
[ポリシーの値] で [カスタム] を選択します。
[ポリシーの種類] で、[許可] を選択して許可された暗号スイートのリストを作成するか、[拒否] を選択して拒否された暗号スイートのリストを作成します。
[カスタム値] で、
in:接頭辞と値グループ文字列を入力してから、Enter キーを押します。たとえば、「
in:NIST-800-52-recommended-ciphers」のようになります。[値を追加] をクリックすると、複数の値グループ文字列を入力できます。is:接頭辞を使用して、特定の暗号スイート文字列を入力することもできます。サポートされている値の一覧については、サポートされている暗号スイートをご覧ください。
ポリシーを適用するには、[ポリシーを設定] をクリックします。
gcloud
TLS 暗号スイートを制限する制約を適用する組織のポリシーを作成するには、制約を参照するポリシー YAML ファイルを作成します。
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
制約を含む組織のポリシーを適用するには、次のコマンドを実行します。
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
次のように置き換えます。
RESOURCE_TYPEはorganization、folder、またはprojectに置き換えます。RESOURCE_IDは、組織 ID、フォルダ ID、プロジェクト ID、またはプロジェクト番号に置き換えます。POLICY_PATHは、組織のポリシーを含む YAML ファイルのパスに置き換えます。
新しい組織のポリシーの結果を含むレスポンスが返されます。
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
値グループ
値グループは、優先または推奨される TLS 暗号スイートを簡単に定義できるようにするために Google によってキュレートされた暗号スイートのコレクションです。値グループには複数の暗号スイートが含まれており、時間の経過とともに Google によって拡張されます。新しい暗号スイートに対応するために、組織のポリシーを変更する必要はありません。
組織のポリシーで値グループを使用するには、エントリの先頭に文字列 in: を付加します。値接頭辞の使用方法については、制約の使用をご覧ください。
組織のポリシーを設定するための呼び出しで、値グループ名が検証されます。無効なグループ名を使用すると、ポリシー設定が失敗します。
次の表に、現時点で使用可能なグループのリストを示します。
| グループ | 詳細 | 直接メンバー |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Google Cloud でサポートされている CNSA 2.0 推奨暗号:in:CNSA-2.0-recommended-ciphers |
値:
|
| NIST-800-52-recommended-ciphers | Google Cloud でサポートされている NIST SP 800-52 推奨暗号:in:NIST-800-52-recommended-ciphers |
値:
|
サポートされている暗号スイート
これは、 Google Cloudでサポートされている暗号スイートのリストです。
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
エラー メッセージ
TLS 暗号スイートの制限の制約をサポートするサービスは、制約に違反するリクエストを拒否します。
エラー メッセージの例
エラー メッセージの形式は次の例のようになります。
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
この出力には次の値が含まれます。
PROJECT_NUMBER: 前のコマンドで参照されているリソースをホストするプロジェクト番号。SERVICE_NAME: TLS 暗号スイートの制限ポリシーによってブロックされたスコープ内のサービスの名前。TLS_Cipher_Suite_X: リクエストで使用される TLS 暗号スイート。
Cloud Audit Logs の例
また、監査ログエントリが、詳細なモニタリング、アラート、デバッグ用に生成されます。監査ログエントリは次のようになります。
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
ポリシーのテスト
TLS 暗号制限ポリシーの制約は、任意のスコープ内サービスでテストできます。次の curl コマンドの例は、Cloud Key Management Service キーリングの TLS 暗号スイートの制限を検証します。
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
次の変数を置き換えます。
TLS_CIPHER_SUITE: OpenSSL 命名規則の TLS 暗号スイート名(TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAの OpenSSL 名であるECDHE-ECDSA-AES128-SHAなど)。PROJECT_ID: キーリングを含むプロジェクトの名前
次の curl リクエストの例では、PROJECT_ID が my-project-id に設定され、TLS_CIPHER_SUITE が ECDHE-ECDSA-AES128-SHA に設定されています。
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
「my-project-id」の組織のポリシーが TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA を拒否するように構成されている場合、この例のコマンドでポリシー制限されたプロジェクトで、暗号を使用してリソースにアクセスしようとすると失敗します。失敗の理由を説明する次のようなエラー メッセージが返されます。
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
ドライラン モードで組織のポリシーを作成する
ドライラン モードの組織のポリシーは、ポリシーの違反が監査ログに記録されながら違反アクションは拒否されないタイプの組織のポリシーです。TLS 暗号スイートの制限制約を使用して、ドライラン モードで組織のポリシーを作成して、それが組織にどう影響するかを、ライブのポリシーを適用する前にモニタリングできます。詳細については、ドライラン モードで組織のポリシーを作成するをご覧ください。
サポート対象のサービス
次のサービスは、TLS 暗号スイートの制限をサポートしています。この制約は、グローバル エンドポイント、ロケーション エンドポイント、リージョン エンドポイントなど、API エンドポイントのすべてのバリエーションに適用されます。詳細については、API エンドポイント タイプのページをご覧ください。
| プロダクト | API エンドポイント |
|---|---|
| AI Platform |
ml.googleapis.com |
| API Gateway |
apigateway.googleapis.com |
| API キー |
apikeys.googleapis.com |
| Access Context Manager |
accesscontextmanager.googleapis.com |
| AlloyDB for PostgreSQL |
alloydb.googleapis.com |
| Apigee API Hub |
apihub.googleapis.com |
| Apigee API Management API |
apim.googleapis.com |
| Apigee Connect API |
apigeeconnect.googleapis.com |
| Apigee portal API |
apigeeportal.googleapis.com |
| Apigee Registry API |
apigeeregistry.googleapis.com |
| Apigee |
apigee.googleapis.com |
| App Config Manager API |
appconfigmanager.googleapis.com |
| App Engine |
appengine.googleapis.com |
| App Hub |
apphub.googleapis.com |
| Application Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Assured Open Source Software |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| 監査マネージャー |
auditmanager.googleapis.com |
| Authorization Toolkit API |
authztoolkit.googleapis.com |
| Backup and DR サービス |
backupdr.googleapis.com |
| Backup for GKE |
gkebackup.googleapis.com |
| Bare Metal Solution |
baremetalsolution.googleapis.com |
| バッチ |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery BI Engine |
bigquerybiengine.googleapis.com |
| BigQuery 接続 |
bigqueryconnection.googleapis.com |
| BigQuery Data Policy |
bigquerydatapolicy.googleapis.com |
| BigQuery Data Transfer |
bigquerydatatransfer.googleapis.com |
| BigQuery の移行 |
bigquerymigration.googleapis.com |
| BigQuery の予約 |
bigqueryreservation.googleapis.com |
| BigQuery Saved Query API |
bigquery-sq.googleapis.com |
| BigQuery ストレージ |
bigquerystorage.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| BigQuery Sharing |
analyticshub.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Binary Authorization |
binaryauthorization.googleapis.com |
| ブロックチェーン分析 |
blockchain.googleapis.com |
| ブロックチェーン ノード エンジン |
blockchainnodeengine.googleapis.com |
| ブロックチェーン バリデータ マネージャー |
blockchainvalidatormanager.googleapis.com |
| キャパシティ プランナー |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Certificate Manager |
certificatemanager.googleapis.com |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
| Cloud Billing |
cloudbilling.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| Cloud Commerce Consumer Procurement API |
cloudcommerceconsumerprocurement.googleapis.com |
| Cloud Commerce Producer API |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| Cloud Controls Partner API |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deploy |
clouddeploy.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| Cloud Healthcare API |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Cloud Intrusion Detection System |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com kmsinventory.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com genomics.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| Cloud Natural Language API |
language.googleapis.com |
| Cloud Next Generation Firewall Essentials |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud OS Login API |
oslogin.googleapis.com |
| クラウド割り当て |
cloudquotas.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com runapps.googleapis.com |
| Cloud SQL |
cloudsql.googleapis.com sqladmin.googleapis.com |
| Cloud Scheduler |
cloudscheduler.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com meshca.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
| Cloud Source Repositories |
sourcerepo.googleapis.com |
| Cloud Storage |
storage.googleapis.com |
| Cloud Support API |
cloudsupport.googleapis.com |
| Cloud TPU |
tpu.googleapis.com |
| Cloud Tool Results API |
toolresults.googleapis.com |
| Cloud Trace |
cloudtrace.googleapis.com |
| Cloud Translation |
translate.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| Commerce Agreement Publishing API |
commerceagreementpublishing.googleapis.com |
| Commerce Business Enablement API |
commercebusinessenablement.googleapis.com |
| Commerce Org Governance API |
commerceorggovernance.googleapis.com |
| Commerce Price Management API |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Confidential Computing |
confidentialcomputing.googleapis.com |
| 接続 |
gkeconnect.googleapis.com |
| Connect Gateway |
connectgateway.googleapis.com |
| Contact Center AI Platform API |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| Content Warehouse API |
contentwarehouse.googleapis.com |
| Continuous Validation API |
continuousvalidation.googleapis.com |
| 会話型分析情報 |
contactcenterinsights.googleapis.com |
| Data Catalog |
datacatalog.googleapis.com |
| Data Labeling API |
datalabeling.googleapis.com |
| データ セキュリティ ポスチャー管理 API |
dspm.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| データベース センター |
databasecenter.googleapis.com |
| データベース移行サービス |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataform |
dataform.googleapis.com |
| Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc Metastore |
metastore.googleapis.com |
| Dataproc |
dataproc.googleapis.com dataprocrm.googleapis.com |
| Dataproc on GDC |
dataprocgdc.googleapis.com |
| Datastream |
datastream.googleapis.com |
| Developer Connect |
developerconnect.googleapis.com |
| Distributed Cloud Edge Container API |
edgecontainer.googleapis.com |
| Distributed Cloud Edge Network API |
edgenetwork.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| Earth Engine API |
earthengine.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| 重要な連絡先 |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com eventarcpublishing.googleapis.com |
| Fault Injection Testing |
faultinjectiontesting.googleapis.com |
| Filestore |
file.googleapis.com |
| Financial Services API |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Firebase セキュリティ ルール |
firebaserules.googleapis.com |
| Firebase Storage API |
firebasestorage.googleapis.com |
| Firestore |
firestore.googleapis.com firestorekeyvisualizer.googleapis.com |
| Datastore モードの Firestore(Datastore) |
datastore.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| GKE Enterprise Edge API |
anthosedge.googleapis.com |
| ハブ(フリート) |
gkehub.googleapis.com |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
| GKE Multi-Cloud |
gkemulticloud.googleapis.com |
| GKE On-Prem API |
gkeonprem.googleapis.com |
| Gemini for Google Cloud API |
cloudaicompanion.googleapis.com |
| Google Cloud API |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Google Cloud Migration Center |
migrationcenter.googleapis.com rapidmigrationassessment.googleapis.com |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Cloud VMware Engine |
vmwareengine.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com containerfilesystem.googleapis.com configdelivery.googleapis.com |
| Google Security Operations Partner API |
chroniclepartner.googleapis.com |
| Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| Google Workspace アドオン |
gsuiteaddons.googleapis.com |
| Identity and Access Management |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| インテグレーション コネクタ |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| License Manager API |
licensemanager.googleapis.com |
| Live Stream API |
livestream.googleapis.com |
| Looker |
looker.googleapis.com |
| Apache Flink 向け BigQuery Engine |
managedflink.googleapis.com |
| Managed Kafka API |
managedkafka.googleapis.com |
| Managed Service for Microsoft Active Directory |
managedidentities.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore for Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| Memorystore for Valkey |
memorystore.googleapis.com |
| Message Streams API |
messagestreams.googleapis.com |
| Microservices API |
microservices.googleapis.com |
| Migrate to Virtual Machines |
vmmigration.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Network Service Tiers |
compute.googleapis.com |
| Oracle Database@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Personalized Service Health |
servicehealth.googleapis.com |
| Policy Intelligence |
policyanalyzer.googleapis.com policysimulator.googleapis.com policytroubleshooter.googleapis.com |
| Privileged Access Manager |
privilegedaccessmanager.googleapis.com |
| 段階的なロールアウト |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Recommender |
recommender.googleapis.com |
| Remote Build Execution |
remotebuildexecution.googleapis.com |
| Retail API |
retail.googleapis.com |
| サイバー保険ハブ |
riskmanager.googleapis.com |
| SaaS Service Management API |
saasservicemgmt.googleapis.com |
| SecLM API |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| Secured Landing Zone API |
securedlandingzone.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| Service Account Credentials API |
iamcredentials.googleapis.com |
| Service Directory |
servicedirectory.googleapis.com |
| サービス管理 |
servicemanagement.googleapis.com |
| サービス ネットワーキング |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Speech-to-Text |
speech.googleapis.com |
| Storage Insights |
storageinsights.googleapis.com |
| Storage Transfer Service |
storagebatchoperations.googleapis.com storagetransfer.googleapis.com |
| Talent Solution |
jobs.googleapis.com |
| Text-to-Speech |
texttospeech.googleapis.com |
| Timeseries Insights API |
timeseriesinsights.googleapis.com |
| Transcoder API |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| Vertex AI API |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI in Firebase |
firebasevertexai.googleapis.com |
| Video Intelligence API |
videointelligence.googleapis.com |
| Video Search API |
cloudvideosearch.googleapis.com |
| Video Stitcher API |
videostitcher.googleapis.com |
| Virtual Private Cloud(VPC) |
compute.googleapis.com |
| Vision AI |
visionai.googleapis.com |
| Visual Inspection AI |
visualinspection.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com workflowexecutions.googleapis.com |
| Workload Certificate API |
workloadcertificate.googleapis.com |
| ワークロード マネージャー |
workloadmanager.googleapis.com |
| reCAPTCHA Enterprise |
recaptchaenterprise.googleapis.com |
サポートされていないサービス
TLS 暗号スイートの制限に関する組織のポリシーの制約は、次のサービスには適用されません。
- Apigee(
*.apigee.net、*.apigee.com、*.apigee.io) - App Engine(
*.appspot.com) - Cloud Run functions(
*.cloudfunctions.net)、 - Cloud Run(
*.run.app) - Private Service Connect
- カスタム ドメイン
これらのサービスの TLS 暗号スイートを制限するには、SSL セキュリティ ポリシーとともに Cloud Load Balancing を使用します。
Google Cloud 暗号スイートの設定
サポートされているサービスのエンドポイントは、優先度の高い順に次の順序で暗号スイートを優先します。
- AES-256
- AES-128
- ChaCha20
TLS handshake の間に、サーバーはクライアントとサーバーの両方がサポートする最も優先度の高い暗号スイートを選択します。通常、この選択プロセスでは、クライアント側で特定の構成変更を行う必要はありません。
TLS ハンドシェイクは、TLS 暗号スイートの制限ポリシーのチェックの前に行われ、ポリシーのチェックとは別に行われます。そのため、TLS handshake 中にネゴシエートされた暗号スイートは、[TLS 暗号スイートを制限する] ポリシーのチェックでも許可されている必要があります。それ以外の場合、接続は拒否されます。ポリシーの所有者は、ネゴシエートされた暗号スイートを許可するように、TLS 暗号スイートとクライアント アプリケーションの制限を構成する必要があります。