Membatasi cipher suite TLS di instance Looker (Google Cloud core)

Google Cloud mendukung beberapa cipher suite TLS. Untuk memenuhi persyaratan keamanan atau kepatuhan, Anda mungkin ingin menolak permintaan dari klien yang menggunakan cipher suite TLS yang kurang aman.

Batasan kebijakan organisasi gcp.restrictTLSCipherSuites menyediakan kemampuan ini.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk menetapkan, mengubah, atau menghapus kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Menetapkan kebijakan organisasi

Batasan kebijakan organisasi gcp.restrictTLSCipherSuites dapat diterapkan ke instance Looker (Google Cloud core) yang menggunakan konfigurasi jaringan IP publik.

Anda dapat menerapkan batasan sebelum atau setelah membuat instance.

Ikuti petunjuk di halaman dokumentasi Membatasi cipher suite TLS untuk menetapkan kebijakan organisasi. Looker (Google Cloud core) mematuhi profil kebijakan SSL MODERN yang dikelola Google dan mendukung cipher suite yang ada dalam profil tersebut.

Jika Anda menetapkan atau mengubah kebijakan organisasi setelah instance Looker (Google Cloud core) dibuat, Anda harus melakukan salah satu tindakan berikut untuk menerapkan update kebijakan organisasi ke instance Looker (Google Cloud core):

  • Mulai ulang instance.
  • Edit setelan Looker (inti Google Cloud) dalam konsol Google Cloud atau melalui CLI gcloud.

Pelanggaran kebijakan

Jika Anda menyetel batasan kebijakan organisasi untuk tidak mengizinkan cipher suite MODERN yang didukung oleh Looker (Google Cloud core), Anda tidak akan dapat membuat, memperbarui, atau memulai ulang instance Looker (Google Cloud core) dan akan menerima error berikut:

com.google.apps.framework.request.FailedPreconditionException:
Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource
`resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION

Output ini mencakup nilai PROJECT_ID, yang merupakan ID project yang menghosting instance Looker (Google Cloud core).

Untuk mengatasi pelanggaran ini, perbarui kebijakan organisasi gcp.restrictTLSCipherSuites agar mengizinkan setidaknya satu cipher suite yang didukung.