Google Cloud 는 여러 TLS 암호화 스위트를 지원합니다. 보안 또는 규정 준수 요구사항을 충족하기 위해 보안 수준이 낮은 TLS 암호화 스위트를 사용하는 클라이언트의 요청을 거부할 수 있습니다.
gcp.restrictTLSCipherSuites 조직 정책 제약조건이 이 기능을 제공합니다.
시작하기 전에
조직 정책을 설정, 변경, 삭제하는 데 필요한 권한을 얻으려면 관리자에게 조직의 조직 정책 관리자 (roles/orgpolicy.policyAdmin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
조직 정책 설정
gcp.restrictTLSCipherSuites 조직 정책 제약조건은 공개 IP 네트워킹 구성을 사용하는 Looker (Google Cloud 핵심 서비스) 인스턴스에 적용할 수 있습니다.
인스턴스를 만들기 전이나 만든 후에 제약조건을 적용할 수 있습니다.
TLS 암호화 스위트 제한 문서 페이지의 안내에 따라 조직 정책을 설정하세요. Looker (Google Cloud 핵심 서비스)는 Google에서 관리하는 최신 SSL 정책 프로필을 준수하며 해당 프로필에 있는 암호화 스위트를 지원합니다.
Looker (Google Cloud 핵심 서비스) 인스턴스를 만든 후 조직 정책을 설정하거나 변경하는 경우 다음 작업 중 하나를 수행하여 조직 정책 업데이트를 Looker (Google Cloud 핵심 서비스) 인스턴스에 적용해야 합니다.
정책 위반
Looker (Google Cloud 핵심 서비스)에서 지원하는 최신 암호화 스위트를 허용하지 않도록 조직 정책 제한을 설정하면 Looker (Google Cloud 핵심 서비스) 인스턴스를 만들거나 업데이트하거나 다시 시작할 수 없으며 다음 오류가 표시됩니다.
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
이 출력에는 Looker (Google Cloud 핵심 서비스) 인스턴스를 호스팅하는 프로젝트의 ID인 PROJECT_ID 값이 포함됩니다.
위반사항을 해결하려면 지원되는 암호화 기술을 하나 이상 허용하도록 gcp.restrictTLSCipherSuites 조직 정책을 업데이트하세요.