Google Cloud admite varios paquetes de cifrado TLS. Para cumplir los requisitos de seguridad o de cumplimiento, puede que quieras rechazar las solicitudes de clientes que usen paquetes de cifrado TLS menos seguros.
La restricción de política de organización gcp.restrictTLSCipherSuites
proporciona esta función.
Antes de empezar
Para obtener los permisos que necesitas para definir, cambiar o eliminar políticas de la organización,
pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Definir la política de la organización
La restricción de la política de organización gcp.restrictTLSCipherSuites se puede aplicar a las instancias de Looker (Google Cloud core) que usen una configuración de red de IP pública.
Puedes aplicar la restricción antes o después de crear la instancia.
Sigue las instrucciones de la página de documentación Restringir los conjuntos de cifrado de TLS para definir la política de organización. Looker (Google Cloud core) cumple el perfil de política de SSL MODERN gestionado por Google y admite los conjuntos de cifrado que se incluyen en ese perfil.
Si defines o cambias la política de la organización después de crear la instancia de Looker (Google Cloud core), debes realizar una de las siguientes acciones para aplicar la actualización de la política de la organización a la instancia de Looker (Google Cloud core):
- Reinicia la instancia.
- Edita un ajuste de Looker (en la infraestructura de Google Cloud) en la Google Cloud consola o mediante la
gcloudCLI.
Infracciones de las políticas
Si asigna a la restricción de la política de la organización el valor que no permite ningún conjunto de cifrado MODERN compatible con Looker (Google Cloud Core), no podrá crear, actualizar ni reiniciar la instancia de Looker (Google Cloud Core) y recibirá el siguiente error:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Este resultado incluye el valor PROJECT_ID, que es el ID del proyecto que aloja la instancia de Looker (servicio principal de Google Cloud).
Para solucionar la infracción, actualiza la política de organización gcp.restrictTLSCipherSuites para permitir al menos un conjunto de cifrado admitido.