Google Cloud unterstützt mehrere TLS-Cipher-Suites. Um Sicherheits- oder Compliance-Anforderungen zu erfüllen, können Sie Anfragen von Clients ablehnen, die weniger sichere TLS-Cipher-Suites verwenden.
Die Einschränkung für Organisationsrichtlinien gcp.restrictTLSCipherSuites bietet diese Möglichkeit.
Hinweise
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Festlegen, Ändern oder Löschen von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Organisationsrichtlinie festlegen
Die Einschränkung für die Organisationsrichtlinie gcp.restrictTLSCipherSuites kann auf Looker (Google Cloud Core)-Instanzen angewendet werden, die eine öffentliche IP-Netzwerkkonfiguration verwenden.
Sie können die Einschränkung vor oder nach dem Erstellen der Instanz anwenden.
Folgen Sie der Anleitung auf der Dokumentationsseite TLS-Cipher-Suites beschränken, um die Organisationsrichtlinie festzulegen. Looker (Google Cloud Core) entspricht dem von Google verwalteten MODERN-SSL-Richtlinienprofil und unterstützt die darin enthaltenen Chiffrierverfahren.
Wenn Sie die Organisationsrichtlinie nach der Erstellung der Looker (Google Cloud Core)-Instanz festlegen oder ändern, müssen Sie eine der folgenden Aktionen ausführen, damit die Aktualisierung der Organisationsrichtlinie auf die Looker (Google Cloud Core)-Instanz angewendet wird:
- Starten Sie die Instanz neu.
- Bearbeiten Sie eine Looker (Google Cloud Core)-Einstellung in der Google Cloud Console oder über die
gcloudCLI.
Richtlinienverstöße
Wenn Sie die Einschränkung der Organisationsrichtlinie so festlegen, dass keine von Looker (Google Cloud Core) unterstützten MODERN-Verschlüsselungssuiten zulässig sind, können Sie die Looker (Google Cloud Core)-Instanz nicht erstellen, aktualisieren oder neu starten. Sie erhalten dann die folgende Fehlermeldung:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Diese Ausgabe enthält den Wert PROJECT_ID, die ID des Projekts, in dem die Looker (Google Cloud Core)-Instanz gehostet wird.
Um den Verstoß zu beheben, aktualisieren Sie die Organisationsrichtlinie gcp.restrictTLSCipherSuites, sodass mindestens eine unterstützte Cipher Suite zulässig ist.