Google Cloud 支持多个 TLS 加密套件。为了满足安全性或合规性要求,您可能需要拒绝使用安全性较低的 TLS 加密套件的客户端发出的请求。
gcp.restrictTLSCipherSuites 组织政策限制条件提供此功能。
准备工作
如需获取设置、更改或删除组织政策所需的权限,请让管理员向您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
设置组织政策
gcp.restrictTLSCipherSuites 组织政策限制条件可应用于使用公共 IP 网络配置的 Looker (Google Cloud Core) 实例。
您可以在创建实例之前或之后应用限制条件。
按照限制 TLS 加密套件文档页面中的说明设置组织政策。Looker (Google Cloud Core) 符合 Google 管理的新型 SSL 政策配置文件,并支持该配置文件中的加密套件。
如果您在创建 Looker (Google Cloud Core) 实例后设置或更改组织政策,则必须执行以下任一操作,才能将组织政策更新应用于 Looker (Google Cloud Core) 实例:
违反政策
如果您将组织政策限制设置为不允许使用 Looker (Google Cloud Core) 支持的新型加密套件,您将无法创建、更新或重启 Looker (Google Cloud Core) 实例,并且会收到以下错误:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
此输出包含 PROJECT_ID 值,即托管 Looker (Google Cloud Core) 实例的项目的 ID。
如需解决此违规问题,请更新 gcp.restrictTLSCipherSuites 组织政策,以允许至少一个受支持的加密套件。