Google Cloud Suporta vários conjuntos de cifras TLS. Para cumprir os requisitos de segurança ou conformidade, pode querer recusar pedidos de clientes que usam conjuntos de cifras TLS menos seguros.
A restrição da política da organização gcp.restrictTLSCipherSuites
oferece esta capacidade.
Antes de começar
Para obter as autorizações de que
precisa para definir, alterar ou eliminar políticas de organização,
peça ao seu administrador para lhe conceder a
função IAM de administrador de políticas de organização (roles/orgpolicy.policyAdmin)
na organização.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Definir a política da organização
A restrição da política da organização gcp.restrictTLSCipherSuites pode ser aplicada a instâncias do Looker (Google Cloud core) que usam uma configuração de rede de IP público.
Pode aplicar a restrição antes ou depois de criar a instância.
Siga as instruções na página de documentação Restrinja conjuntos de cifras TLS para definir a política da organização. O Looker (núcleo do Google Cloud) está em conformidade com o perfil de política de SSL MODERNO gerido pela Google e suporta os conjuntos de cifras que estão nesse perfil.
Se definir ou alterar a política da organização após a criação da instância do Looker (essencial para o Google Cloud), tem de realizar uma das seguintes ações para aplicar a atualização da política da organização à instância do Looker (essencial para o Google Cloud):
- Reinicie a instância.
- Edite uma definição do Looker (Google Cloud core) na Google Cloud consola ou através da CLI
gcloud.
Violações de políticas
Se definir a restrição da política da organização para não permitir conjuntos de cifras MODERN suportados pelo Looker (Google Cloud core), não poderá criar, atualizar nem reiniciar a instância do Looker (Google Cloud core) e receberá o seguinte erro:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Este resultado inclui o valor PROJECT_ID, que é o ID do projeto que está a alojar a instância do Looker (Google Cloud core).
Para resolver a violação, atualize a política da organização gcp.restrictTLSCipherSuites para permitir, pelo menos, um conjunto de cifras suportado.