Google Cloud 支援多個傳輸層安全標準 (TLS) 加密套件。為符合安全性或法規遵循規定,您可能需要拒絕來自使用安全性較低 TLS 加密套件的用戶端要求。
gcp.restrictTLSCipherSuites機構政策限制提供這項功能。
事前準備
如要取得設定、變更或刪除機構政策所需的權限,請要求管理員授予您機構的機構政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
設定機構政策
gcp.restrictTLSCipherSuites 機構政策限制可套用至使用公開 IP 網路設定的 Looker (Google Cloud Core) 執行個體。
您可以在建立執行個體前後套用限制。
請按照「限制 TLS 加密套件」說明文件頁面的操作說明設定機構政策。Looker (Google Cloud Core) 符合 Google 代管的 MODERN SSL 政策設定檔,並支援該設定檔中的密碼套件。
如果在建立 Looker (Google Cloud Core) 執行個體後設定或變更機構政策,您必須執行下列其中一項動作,才能將機構政策更新套用至 Looker (Google Cloud Core) 執行個體:
違反政策
如果將組織政策限制設為不允許 Looker (Google Cloud Core) 支援的任何新式加密套件,您將無法建立、更新或重新啟動 Looker (Google Cloud Core) 執行個體,並會收到下列錯誤訊息:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
這項輸出內容包含 PROJECT_ID 值,也就是代管 Looker (Google Cloud Core) 執行個體的專案 ID。
如要解決違規問題,請更新 gcp.restrictTLSCipherSuites 機構政策,至少允許一個支援的加密套件。