Google Cloud est compatible avec plusieurs suites de chiffrement TLS. Pour répondre à des exigences de sécurité ou de conformité, vous pouvez refuser les requêtes des clients qui utilisent des suites de chiffrement TLS moins sécurisées.
La contrainte de règle d'administration gcp.restrictTLSCipherSuites permet de le faire.
Avant de commencer
Pour obtenir les autorisations nécessaires pour définir, modifier ou supprimer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Définir la règle d'administration
La contrainte de règle d'administration gcp.restrictTLSCipherSuites peut être appliquée aux instances Looker (Google Cloud Core) qui utilisent une configuration réseau avec adresse IP publique.
Vous pouvez appliquer la contrainte avant ou après avoir créé l'instance.
Suivez les instructions de la page de documentation Restreindre les suites de chiffrement TLS pour définir la règle d'administration. Looker (Google Cloud Core) est conforme au profil de règles SSL MODERNE géré par Google et est compatible avec les suites de chiffrement de ce profil.
Si vous définissez ou modifiez la règle d'administration après la création de l'instance Looker (Google Cloud Core), vous devez effectuer l'une des actions suivantes pour appliquer la mise à jour de la règle d'administration à l'instance Looker (Google Cloud Core) :
- Redémarrez l'instance.
- Modifiez un paramètre Looker (Google Cloud Core) dans la console Google Cloud ou à l'aide de la CLI
gcloud.
Non-respect des règles
Si vous définissez la restriction de règle d'administration sur "Aucune" pour les suites de chiffrement MODERN compatibles avec Looker (Google Cloud Core), vous ne pourrez pas créer, mettre à jour ni redémarrer l'instance Looker (Google Cloud Core), et vous recevrez l'erreur suivante :
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Ce résultat inclut la valeur PROJECT_ID, qui correspond à l'ID du projet hébergeant l'instance Looker (Google Cloud Core).
Pour résoudre le problème, mettez à jour la règle d'administration gcp.restrictTLSCipherSuites afin d'autoriser au moins une suite de chiffrement compatible.