Google Cloud admite varios conjuntos de algoritmos de cifrado de TLS. Para cumplir con los requisitos de seguridad o cumplimiento, es posible que desees rechazar las solicitudes de los clientes que usan conjuntos de algoritmos de cifrado TLS menos seguros.
La restricción de política de la organización gcp.restrictTLSCipherSuites proporciona esta capacidad.
Antes de comenzar
Para obtener los permisos que necesitas para establecer, cambiar o borrar políticas de la organización,
pídele a tu administrador que te otorgue el rol de IAM de
Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
en la organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Configura la política de la organización
La restricción de política de la organización gcp.restrictTLSCipherSuites se puede aplicar a las instancias de Looker (Google Cloud Core) que usan una configuración de redes de IP pública.
Puedes aplicar la restricción antes o después de crear la instancia.
Sigue las instrucciones de la página de documentación Restringir conjuntos de algoritmos de cifrado TLS para establecer la política de la organización. Looker (Google Cloud Core) cumple con el perfil de política de SSL MODERN administrado por Google y admite los conjuntos de algoritmos de cifrado que se incluyen en ese perfil.
Si configuras o cambias la política de la organización después de crear la instancia de Looker (Google Cloud Core), debes realizar una de las siguientes acciones para aplicar la actualización de la política de la organización a la instancia de Looker (Google Cloud Core):
- Reinicia la instancia.
- Edita un parámetro de configuración de Looker (Google Cloud Core) en la consola Google Cloud o a través de la CLI
gcloud.
Incumplimientos de política
Si configuras la restricción de la política de la organización para que no se permitan los conjuntos de algoritmos de cifrado MODERNOS compatibles con Looker (Google Cloud Core), no podrás crear, actualizar ni reiniciar la instancia de Looker (Google Cloud Core) y recibirás el siguiente error:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Este resultado incluye el valor de PROJECT_ID, que es el ID del proyecto que aloja la instancia de Looker (Google Cloud Core).
Para abordar el incumplimiento, actualiza la política de la organización gcp.restrictTLSCipherSuites para permitir al menos un conjunto de algoritmos de cifrado compatible.