Se usó la API de Cloud Translation para traducir esta página.

Usa Common Expression Language

En esta página, se describe cómo puedes usar Common Expression Language (CEL) con las políticas de emisión de certificados, las plantillas de certificados y las condiciones de Identity and Access Management (IAM) en tu grupo de AC.

Descripción general

Common Expression Language (CEL) es un lenguaje de código abierto completo que no es de Turing y que implementa semánticas comunes para evaluar las expresiones. Certificate Authority Service admite CEL para la aplicación de varios controles de políticas para la emisión de certificados.

Existen dos dialectos de CEL que se pueden usar con el servicio de CA:

Es un dialecto flexible que puede usarse en las plantillas de certificados y las políticas de emisión de certificados de un grupo de AC.
Es un dialecto más limitado que se puede usar en las condiciones de IAM.

Dialecto de CEL para políticas de emisión de certificados y plantillas de certificados

Cuando creas un grupo de AC o una plantilla de certificado, puedes especificar una expresión CEL como parte de las restricciones de identidad del certificado. La expresión CEL te permite validar los campos Asunto y Nombre alternativo del asunto (SAN).

Para obtener más información sobre las políticas de emisión, consulta Agrega una política de emisión de certificados a un grupo de AC.

Para obtener más información sobre las plantillas de certificado, consulta Descripción general de las plantillas de certificados y las políticas de emisión.

El dialecto CEL para las restricciones de identidad de los grupos de AC y las plantillas de certificados expone las siguientes variables para acceder y validar los campos de asunto y SAN:

Asunto: subject
SAN: subject_alt_names

Asunto

Puedes validar todos los campos del nombre de dominio del sujeto de un certificado (incluido el nombre común), como se especifica en la solicitud de certificado mediante una variable de tipo Subject y el nombre subject.

Subject es una estructura que contiene los siguientes campos:

Tipo	Nombre
`String`	common_name
`String`	country_code
`String`	organización
`String`	organizational_unit
`String`	localidad
`String`	provincia
`String`	street_address
`String`	postal_code

Nombres alternativos de sujeto (SAN)

Puedes validar todos los SAN como se especifica en la solicitud de certificado mediante la variable subject_alt_names. La variable subject_alt_names contiene una lista de structs de SAN, en la que cada SAN es del tipo SubjectAltName.

SubjectAltName es una struct que contiene los siguientes campos:

Tipo	Nombre
`String`	valor
`[]Int32`	oid
`Enum`	tipo

Puedes usar los siguientes valores para el tipo SubjectAltName:

DNS
URI
EMAIL
IP_ADDRESS
CUSTOM

La variable subject_alt_names contiene una lista con todos los SAN solicitados.

Puedes usar las siguientes macros en las SAN:

subject_alt_names.all(san, predicate)
subject_alt_names.exists(san, predicate)
subject_alt_names.exists_one(san, predicate)
subject_alt_names.filter(san, predicate)

Para obtener más información sobre las macros, consulta Definición del lenguaje: Macros.

Expresiones de ejemplo

Cómo garantizar un nombre común específico y un conjunto de países

subject.common_name == "google.com" && (subject.country_code == "US" || subject.country_code == "IR")

Asegúrate de que todos los nombres de DNS terminen con una cadena personalizada

subject_alt_names.all(san, san.type == DNS && san.value.endsWith(".test.com"))

Asegúrate de que todos los SAN sean del tipo DNS o EMAIL

subject_alt_names.all(san, san.type == DNS || san.type == EMAIL )

Garantizar solo una SAN personalizada con un OID específico

subject_alt_names.size() == 1 && subject_alt_names[0].oid == [1, 2, 3, 5, 17]

Garantiza que los SAN personalizados sean solo un conjunto de OID

subject_alt_names.all(san, san.oid == [1, 2, 4, 5, 55] || san.oid == [1, 2, 4, 5, 54])

Dialecto de CEL para políticas de IAM

Usa las condiciones de IAM para someter las vinculaciones de roles de IAM a una expresión condicional. Si la condición se evalúa como true, la vinculación de función de IAM es efectiva; de lo contrario, se ignora. CA Service te permite agregar vinculaciones condicionales de IAM a un grupo de AC.

La condición de IAM es una expresión en CEL que hace referencia a un conjunto de atributos contextuales sobre la solicitud y se evalúa como un valor booleano. Los usuarios establecen condiciones en las vinculaciones de roles en una política de IAM, que IAM almacena y evalúa para determinar si está permitida la operación que está a punto de realizar.

Para obtener más información sobre las condiciones de IAM, consulta Descripción general de las condiciones de IAM.

Los siguientes atributos se exponen durante la evaluación de CEL de las condiciones de IAM:

privateca.googleapis.com/subject

Se puede acceder a privateca.googleapis.com/subject como api.getAttribute('privateca.googleapis.com/subject', {}).

Tipo	Descripción
`map{string, string}`	Este campo contiene el nombre distinguido del sujeto (incluido el nombre común) como se especifica en la solicitud de certificado entrante. Ejemplo `{ 'common_name': 'Foobar', 'organization': 'Example LLC' 'country_code' :'US' 'organizational_unit':'Foobar' 'locality':'Mountain View' 'Province':'California' 'street_address':'Foobar 22' 'postal_code':55555 }`

privateca.googleapis.com/subject_alt_names

Se puede acceder a privateca.googleapis.com/subject_alt_names como api.getAttribute('privateca.googleapis.com/subject_alt_names', []).

Tipo	Descripción
`list{string}`	Este campo contiene todos los SAN solicitados, como se especifica en la solicitud de certificado entrante. Cada uno de los SAN solicitados tiene un prefijo con su tipo. Las SAN con tipos desconocidos tienen el prefijo del OID serializado del tipo. Ejemplo `{ 'dns:foo.bar.com', 'uri:spiffe://foo/ns/bar/sa/baz' 'email:foo@bar.com' 'ip:169.169.254.254' 'custom:1.2.3.4.5.6.3:foobar' }`

privateca.googleapis.com/template

Se puede acceder a privateca.googleapis.com/template como api.getAttribute('privateca.googleapis.com/template', '').

Tipo	Descripción
`String`	La plantilla de certificado que se usó, si la hubiera. El formato es `{project_id}/-/{template_id}`. Ejemplo: `my-project-pki/-/workload_tls`

El nombre de la plantilla proporcionado en la condición de IAM debe coincidir con el nombre de la plantilla en la solicitud de certificado. Por lo tanto, si proporcionas un ID del proyecto en privateca.googleapis.com/template de la expresión CEL, debes también puedes proporcionar un ID del proyecto cuando solicites el certificado. Si proporcionas un proyecto en la expresión CEL, debes proporcionar un número de proyecto en la solicitud de certificado.

Expresiones de ejemplo

Asegurarse de que todos los sujetos tengan la organización configurada como “Ejemplo” y el código de país configurado como US o UK

api.getAttribute('privateca.googleapis.com/subject', {})['organization'] == 'Example' &&
api.getAttribute('privateca.googleapis.com/subject', {})['country_code'] in ['US', 'UK']

Garantizar que la solicitud de certificado solo incluya los SAN de DNS determinados

api.getAttribute('privateca.googleapis.com/subject_alt_names', [])
        .hasOnly(['dns:sample1.prod.example.com', 'dns:sample2.prod.example.com'])

Asegúrate de que todos los certificados usen una plantilla específica

api.getAttribute('privateca.googleapis.com/template', '') == 'my-project-pki/-/leaf-server-tls'

¿Qué sigue?

Lee la introducción a CEL.
Obtén más información sobre la definición de lenguaje para CEL.
Obtén más información sobre las plantillas de certificados y las políticas de emisión.
Lee la descripción general de las condiciones de IAM.
Aprende a agregar una política de emisión de certificados a un grupo de AC.