Google Cloud supporta più suite di crittografia TLS. Per soddisfare i requisiti di sicurezza o conformità, potresti voler rifiutare le richieste dei client che utilizzano suite di crittografia TLS meno sicure.
Il vincolo dei criteri dell'organizzazione gcp.restrictTLSCipherSuites fornisce questa funzionalità.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per impostare, modificare o eliminare le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin) nell'organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Impostazione del criterio dell'organizzazione
Il vincolo del criterio dell'organizzazione gcp.restrictTLSCipherSuites può essere applicato alle istanze di Looker (Google Cloud core) che utilizzano una configurazione di rete con IP pubblico.
Puoi applicare il vincolo prima o dopo aver creato l'istanza.
Segui le istruzioni riportate nella pagina della documentazione Limita suite di crittografia TLS per impostare la policy dell'organizzazione. Looker (Google Cloud core) è conforme al profilo delle norme SSL MODERN gestito da Google e supporta le suite di crittografia incluse in questo profilo.
Se imposti o modifichi il criterio dell'organizzazione dopo la creazione dell'istanza di Looker (Google Cloud core), devi eseguire una delle seguenti azioni per applicare l'aggiornamento del criterio dell'organizzazione all'istanza di Looker (Google Cloud core):
- Riavvia l'istanza.
- Modifica un'impostazione di Looker (Google Cloud core) all'interno della console Google Cloud o tramite la CLI
gcloud.
Violazioni dei criteri
Se imposti il vincolo della policy dell'organizzazione in modo da non consentire suite di crittografia MODERN supportate da Looker (Google Cloud core), non potrai creare, aggiornare o riavviare l'istanza di Looker (Google Cloud core) e riceverai il seguente errore:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Questo output include il valore PROJECT_ID, ovvero l'ID del progetto che ospita l'istanza di Looker (Google Cloud core).
Per risolvere la violazione, aggiorna il criterio dell'organizzazione gcp.restrictTLSCipherSuites in modo da consentire almeno un pacchetto di crittografia supportato.