OGoogle Cloud é compatível com vários pacotes de criptografia TLS. Para atender a requisitos de segurança ou conformidade, talvez seja necessário negar solicitações de clientes que usam pacotes de criptografia TLS menos seguros.
A restrição de política da organização gcp.restrictTLSCipherSuites oferece essa capacidade.
Antes de começar
Para receber as permissões necessárias para definir, mudar ou excluir políticas da organização,
peça ao administrador para conceder a você o
papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin)
na organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Como definir a política da organização
A restrição da política da organização gcp.restrictTLSCipherSuites pode ser aplicada a instâncias do Looker (Google Cloud Core) que usam uma configuração de rede de IP público.
É possível aplicar a restrição antes ou depois de criar a instância.
Siga as instruções na página de documentação Restringir pacotes de criptografia TLS para definir a política da organização. O Looker (Google Cloud Core) está em conformidade com o perfil de política SSL MODERNO gerenciado pelo Google e oferece suporte aos conjuntos de criptografia desse perfil.
Se você definir ou mudar a política da organização depois que a instância do Looker (Google Cloud Core) for criada, faça uma das seguintes ações para aplicar a atualização da política da organização à instância do Looker (Google Cloud Core):
- Reinicie a instância.
- Edite uma configuração do Looker (Google Cloud Core) no console Google Cloud ou na CLI
gcloud.
Violações da política
Se você definir a restrição da política da organização para não permitir conjuntos de algoritmos MODERN compatíveis com o Looker (Google Cloud Core), não será possível criar, atualizar ou reiniciar a instância do Looker (Google Cloud Core), e você vai receber o seguinte erro:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Essa saída inclui o valor PROJECT_ID, que é o ID do projeto que está hospedando a instância do Looker (Google Cloud Core).
Para resolver a violação, atualize a política da organização gcp.restrictTLSCipherSuites para permitir pelo menos um pacote de criptografia compatível.