Google Cloud unterstützt mehrere TLS-Cipher-Suites. Zur Erfüllung von Sicherheits- oder Compliance-Anforderungen sollten Sie Anfragen von Clients ablehnen, die weniger sichere TLS-Cipher Suites verwenden.
Diese Möglichkeit bietet die Einschränkung der Organisationsrichtlinie gcp.restrictTLSCipherSuites.
Hinweise
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die erforderlichen Berechtigungen zum Festlegen, Ändern oder Löschen von Organisationsrichtlinien zu erhalten.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Organisationsrichtlinie festlegen
Die Einschränkung der Organisationsrichtlinie gcp.restrictTLSCipherSuites kann auf Looker (Google Cloud Core)-Instanzen angewendet werden, die eine öffentliche IP-Netzwerkkonfiguration verwenden.
Sie können die Einschränkung vor oder nach dem Erstellen der Instanz anwenden.
Folgen Sie der Anleitung auf der Dokumentationsseite TLS-Cipher Suites einschränken, um die Organisationsrichtlinie festzulegen. Looker (Google Cloud Core) ist mit dem von Google verwalteten MODERN-SSL-Richtlinienprofil konform und unterstützt die Cipher Suites in diesem Profil.
Wenn Sie die Organisationsrichtlinie nach dem Erstellen der Looker (Google Cloud Core)-Instanz festlegen oder ändern, müssen Sie eine der folgenden Aktionen ausführen, um die Aktualisierung der Organisationsrichtlinie auf die Looker (Google Cloud Core)-Instanz anzuwenden:
- Starten Sie die Instanz neu.
- Bearbeiten Sie eine Looker (Google Cloud Core)-Einstellung in der Google Cloud Console oder über die
gcloudCLI.
Richtlinienverstöße
Wenn Sie die Einschränkung der Organisationsrichtlinie so festlegen, dass keine MODERN-Cipher-Suites zugelassen werden, die von Looker (Google Cloud Core) unterstützt werden, können Sie die Looker (Google Cloud Core)-Instanz nicht erstellen, aktualisieren oder neu starten. Sie erhalten dann die folgende Fehlermeldung:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Diese Ausgabe enthält den Wert PROJECT_ID. Dies ist die ID des Projekts, in dem die Looker (Google Cloud Core)-Instanz gehostet wird.
Aktualisieren Sie die Organisationsrichtlinie „gcp.restrictTLSCipherSuites“, um mindestens eine unterstützte Cipher Suite zuzulassen, um den Verstoß zu beheben.