Google Cloud は複数の TLS 暗号スイートをサポートしています。セキュリティ要件またはコンプライアンス要件を満たすため、安全性の低い TLS 暗号スイートを使用しているクライアントからのリクエストを拒否する場合があります。
この機能は、gcp.restrictTLSCipherSuites 組織のポリシーの制約によって提供されます。
始める前に
組織のポリシーの設定、変更、削除に必要な権限を取得するには、組織に対する組織のポリシー管理者 (roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
組織ポリシーの設定
gcp.restrictTLSCipherSuites 組織のポリシーの制約は、パブリック IP ネットワーキング構成を使用する Looker(Google Cloud コア)インスタンスに適用できます。
制約は、インスタンスの作成前または作成後に適用できます。
TLS 暗号スイートを制限するのドキュメント ページの手順に沿って、組織のポリシーを設定します。Looker(Google Cloud コア)は、Google 管理の MODERN SSL ポリシー プロファイルに準拠しており、そのプロファイルに含まれる暗号スイートをサポートしています。
Looker(Google Cloud コア)インスタンスの作成後に組織のポリシーを設定または変更した場合は、次のいずれかのアクションを実行して、組織のポリシーの更新を Looker(Google Cloud コア)インスタンスに適用する必要があります。
ポリシー違反
Looker(Google Cloud コア)でサポートされている MODERN 暗号スイートを許可しないように組織のポリシー制約を設定すると、Looker(Google Cloud コア)インスタンスの作成、更新、再起動ができなくなり、次のエラーが表示されます。
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
この出力には、Looker(Google Cloud コア)インスタンスをホストしているプロジェクトの ID である PROJECT_ID 値が含まれます。
違反に対処するには、サポートされている暗号スイートを 1 つ以上許可するように gcp.restrictTLSCipherSuites 組織のポリシーを更新します。