Restringe los conjuntos de algoritmos de cifrado TLS
En esta página, se describe cómo puedes impedir el acceso a los recursos de Google Cloud rechazando las solicitudes realizadas con ciertos conjuntos de algoritmos de cifrado de seguridad de la capa de transporte (TLS) menos seguros.
Descripción general
Google Cloud admite varios conjuntos de algoritmos de cifrado TLS. Para cumplir con los requisitos de seguridad o cumplimiento, es posible que desees rechazar las solicitudes de los clientes que usan conjuntos de algoritmos de cifrado TLS menos seguros.
Esta capacidad se proporciona a través de la gcp.restrictTLSCipherSuites
restricción de la política de la organización.
La restricción se puede aplicar a organizaciones, carpetas o proyectos en la jerarquía de recursos.
Puedes usar la restricción gcp.restrictTLSCipherSuites como una lista de entidades permitidas o como una lista de entidades denegadas:
- Lista de entidades permitidas: Permite un conjunto específico de algoritmos de cifrado. Todas las demás se rechazan.
- Lista de bloqueo: Deniega un conjunto específico de conjuntos de algoritmos de cifrado. Todas las demás están permitidas.
Debido al comportamiento de la evaluación de la jerarquía de políticas de la organización, la restricción Restrict TLS cipher suites se aplica al nodo de recurso especificado y a todos sus elementos secundarios. Por ejemplo, si solo permites ciertos conjuntos de algoritmos de cifrado TLS para una organización, también se aplicará a todas las carpetas y proyectos (secundarios) que desciendan de esa organización.
Antes de comenzar
Para obtener los permisos que necesitas para establecer, cambiar o borrar políticas de la organización,
pídele a tu administrador que te otorgue el
rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
en la organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Configura la política de la organización
La restricción Restrict TLS cipher suites es un tipo de restricción de lista. Puedes agregar y quitar conjuntos de algoritmos de cifrado de las listas de allowed_values o denied_values de una restricción de Restrict TLS cipher suites. Para evitar que las políticas de la organización sean demasiado restrictivas y simplificar la administración de políticas, usa grupos de valores. Los grupos de valores son conjuntos de algoritmos de cifrado TLS recomendados y seleccionados por Google.
Console
Abre la página Políticas de la organización en la consola de Google Cloud .
Selecciona el selector de proyectos en la parte superior de la página.
En el selector de proyectos, selecciona el recurso para el que deseas configurar la política de la organización.
Selecciona la restricción Restringe los conjuntos de algoritmos de cifrado de TLS de la lista en la página Políticas de la organización.
Si deseas actualizar la política de la organización para este recurso, haz clic en Administrar política.
En la página Editar, selecciona Personalizar.
En Aplicación de la política, selecciona una opción de aplicación:
Para combinar y evaluar las políticas de la organización, selecciona Combinar con superior. Para obtener más información sobre la herencia y la jerarquía de recursos, consulta Comprende la evaluación de jerarquías.
Para anular las políticas heredadas de un recurso superior, selecciona Reemplazar.
Haz clic en Agregar regla.
En Valores de la política, selecciona Personalizar.
En Tipo de política, selecciona Permitir para crear una lista de conjuntos de algoritmos de cifrado permitidos o Rechazar para crear una lista de conjuntos de algoritmos de cifrado rechazados.
En Valores personalizados, ingresa el prefijo
in:y una cadena del grupo de valores y, luego, presiona Intro.Por ejemplo,
in:NIST-800-52-recommended-ciphers. Puedes ingresar varias cadenas de grupos de valores haciendo clic en Agregar valor.También puedes ingresar cadenas de conjuntos de algoritmos de cifrado específicos con el prefijo
is:. Para obtener una lista de los valores admitidos, consulta paquetes de cifrado admitidos.
Para aplicar la política, haz clic en Establecer política.
gcloud
Para crear una política de la organización que aplique la restricción Restrict TLS Cipher Suites, crea un archivo de política en formato YAML que haga referencia a la restricción:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Reemplaza lo siguiente:
RESOURCE_TYPEpororganization,folderoproject.RESOURCE_IDcon el ID de tu organización, el ID de la carpeta, el ID del proyecto o el número del proyecto.POLICY_PATHcon la ruta de acceso completa al archivo YAML que contiene la política de la organización.
Se muestra una respuesta con los resultados de la nueva política de la organización, como la siguiente:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Grupos de valores
Los grupos de valores son colecciones de conjuntos de algoritmos de cifrado que Google selecciona para proporcionar una forma más sencilla de definir los conjuntos de algoritmos de cifrado TLS preferidos o recomendados. Los grupos de valores incluyen varios conjuntos de algoritmos de cifrado y Google los expande con el tiempo. No es necesario que cambies tu política de la organización para admitir los nuevos conjuntos de algoritmos de cifrado.
Para usar grupos de valores en tu política de la organización, escribe tus entradas con la string in:. Para obtener más información sobre el uso de prefijos de valor, consulta la sección sobre cómo usar restricciones.
Los nombres de los grupos de valores se validan en la llamada para establecer la política de la organización.
Si se usa un nombre de grupo no válido, fallará la configuración de la política.
En la siguiente tabla, se incluye la lista actual de grupos disponibles:
| Grupo | Detalles | Miembros directos |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Las cifras recomendadas por CNSA 2.0 que admite Google Cloud son las siguientes:in:CNSA-2.0-recommended-ciphers |
Valores:
|
| NIST-800-52-recommended-ciphers | Cifrados recomendados por la NIST SP 800-52 compatibles con Google Cloud:in:NIST-800-52-recommended-ciphers |
Valores:
|
Conjuntos de algoritmos de cifrado admitidos
Esta es la lista de conjuntos de algoritmos de cifrado compatibles con Google Cloud.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Mensaje de error
Los servicios que admiten la restricción Restringir conjuntos de algoritmos de cifrado TLS rechazan las solicitudes que la incumplen.
Ejemplo de mensaje de error
El mensaje de error tiene un formato similar al siguiente ejemplo:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
En esta salida, se incluyen los siguientes valores:
PROJECT_NUMBER: Es el número del proyecto que aloja el recurso al que se hace referencia en el comando anterior.SERVICE_NAME: Es el nombre del servicio dentro del alcance que bloquea la política de Restringir conjuntos de algoritmos de cifrado TLS.TLS_Cipher_Suite_X: Es el paquete de algoritmos de cifrado TLS que se usa en la solicitud.
Ejemplo de registro de auditoría de Cloud
También se genera una entrada de registro de auditoría para una mayor supervisión, alertas o depuración. La entrada de registro de auditoría es similar al siguiente ejemplo:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Prueba la política
Puedes probar la restricción de política de restricción de cifrado TLS para cualquier servicio dentro del alcance. En el siguiente ejemplo, el comando curl valida la restricción de conjuntos de algoritmos de cifrado de TLS para un llavero de Cloud Key Management Service.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Reemplaza las siguientes variables:
TLS_CIPHER_SUITE: Es el nombre del conjunto de algoritmos de cifrado TLS según la convención de nomenclatura de OpenSSL, por ejemplo,ECDHE-ECDSA-AES128-SHA, que es el nombre de OpenSSL paraTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: Nombre del proyecto que contiene el llavero de claves
En el siguiente ejemplo de solicitud de curl, se muestra PROJECT_ID establecido en my-project-id y TLS_CIPHER_SUITE establecido en ECDHE-ECDSA-AES128-SHA:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Si la política de la organización para "my-project-id" está configurada para denegar TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA , fallará cualquier intento de acceder a los recursos con el cifrado en el proyecto restringido por la política en este comando de ejemplo.
Se mostrará un mensaje de error similar al siguiente ejemplo que describe el motivo de este error.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Crea una política de la organización en modo de ejecución de prueba
Una política de la organización en modo de prueba de validación es un tipo de política de la organización en la que se registran los incumplimientos de la política en el registro de auditoría, pero no se rechazan las acciones que incumplen la política. Puedes crear una política de la organización en modo de ejecución de prueba con la restricción de restricción del conjunto de algoritmos de cifrado TLS para supervisar cómo afectaría a tu organización antes de aplicar la política activa. Para obtener más información, consulta Crea una política de la organización en modo de ejecución de prueba.
Servicios compatibles
Los siguientes servicios admiten la restricción de conjuntos de algoritmos de cifrado TLS. La restricción se aplica a todas las variaciones del extremo de API, incluidos los extremos globales, regionales y de ubicación. Consulta la página Tipos de extremos de API para obtener más información.
| Producto | extremo de API |
|---|---|
| AI Platform |
ml.googleapis.com |
| API Gateway |
apigateway.googleapis.com |
| Claves de API |
apikeys.googleapis.com |
| Access Context Manager |
accesscontextmanager.googleapis.com |
| AlloyDB para PostgreSQL |
alloydb.googleapis.com |
| Concentrador de API de Apigee |
apihub.googleapis.com |
| API de Apigee API Management |
apim.googleapis.com |
| API de Apigee Connect |
apigeeconnect.googleapis.com |
| API del portal de Apigee |
apigeeportal.googleapis.com |
| API de Apigee Registry |
apigeeregistry.googleapis.com |
| Apigee |
apigee.googleapis.com |
| API de App Config Manager |
appconfigmanager.googleapis.com |
| App Engine |
appengine.googleapis.com |
| App Hub |
apphub.googleapis.com |
| Application Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Software de código abierto garantizado |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Administrador de auditorías |
auditmanager.googleapis.com |
| API de Authorization Toolkit |
authztoolkit.googleapis.com |
| Servicio de copia de seguridad y DR |
backupdr.googleapis.com |
| Copia de seguridad para GKE |
gkebackup.googleapis.com |
| Solución Bare Metal |
baremetalsolution.googleapis.com |
| Lote |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery BI Engine |
bigquerybiengine.googleapis.com |
| Conexiones de BigQuery |
bigqueryconnection.googleapis.com |
| Política de datos de BigQuery |
bigquerydatapolicy.googleapis.com |
| Transferencia de datos de BigQuery |
bigquerydatatransfer.googleapis.com |
| Migración de BigQuery |
bigquerymigration.googleapis.com |
| Reserva BigQuery |
bigqueryreservation.googleapis.com |
| API de BigQuery Saved Query |
bigquery-sq.googleapis.com |
| BigQuery Storage |
bigquerystorage.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| BigQuery sharing |
analyticshub.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Autorización binaria |
binaryauthorization.googleapis.com |
| Estadísticas de cadenas de bloques |
blockchain.googleapis.com |
| Motor de nodos de cadenas de bloques |
blockchainnodeengine.googleapis.com |
| Administrador del validador de cadena de bloques |
blockchainvalidatormanager.googleapis.com |
| Planificador de capacidad |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Administrador de certificados |
certificatemanager.googleapis.com |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
| Facturación de Cloud |
cloudbilling.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| API de Cloud Commerce Consumer Procurement |
cloudcommerceconsumerprocurement.googleapis.com |
| API de Cloud Commerce Producer |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| API de Cloud Controls Partner |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deploy |
clouddeploy.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| API de Cloud Healthcare |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Sistema de detección de intrusiones de Cloud |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com kmsinventory.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com genomics.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| API de Cloud Natural Language |
language.googleapis.com |
| Cloud Next Generation Firewall Essentials |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| API de Cloud OS Login |
oslogin.googleapis.com |
| Cloud Quotas |
cloudquotas.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com runapps.googleapis.com |
| Cloud SQL |
cloudsql.googleapis.com sqladmin.googleapis.com |
| Cloud Scheduler |
cloudscheduler.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com meshca.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
| Cloud Source Repositories |
sourcerepo.googleapis.com |
| Cloud Storage |
storage.googleapis.com |
| API de Cloud Support |
cloudsupport.googleapis.com |
| Cloud TPU |
tpu.googleapis.com |
| API de Cloud Tool Results |
toolresults.googleapis.com |
| Cloud Trace |
cloudtrace.googleapis.com |
| Cloud Translation |
translate.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| API de Commerce Agreement Publishing |
commerceagreementpublishing.googleapis.com |
| API de Commerce Business Enablement |
commercebusinessenablement.googleapis.com |
| API de Commerce Org Governance |
commerceorggovernance.googleapis.com |
| API de Commerce Price Management |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Confidential Computing |
confidentialcomputing.googleapis.com |
| Conectar |
gkeconnect.googleapis.com |
| Conecta la puerta de enlace |
connectgateway.googleapis.com |
| API de Contact Center AI Platform |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| API de Content Warehouse |
contentwarehouse.googleapis.com |
| API de Continuous Validation |
continuousvalidation.googleapis.com |
| Estadísticas de conversación |
contactcenterinsights.googleapis.com |
| Data Catalog |
datacatalog.googleapis.com |
| API de Data Labeling |
datalabeling.googleapis.com |
| API de Data Security Posture Management |
dspm.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| Centro de bases de datos |
databasecenter.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataform |
dataform.googleapis.com |
| Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc Metastore |
metastore.googleapis.com |
| Dataproc |
dataproc.googleapis.com dataprocrm.googleapis.com |
| Dataproc on GDC |
dataprocgdc.googleapis.com |
| Datastream |
datastream.googleapis.com |
| Developer Connect |
developerconnect.googleapis.com |
| API de Distributed Cloud Edge Container |
edgecontainer.googleapis.com |
| API de Distributed Cloud Edge Network |
edgenetwork.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| API de Earth Engine |
earthengine.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Contactos esenciales |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com eventarcpublishing.googleapis.com |
| Fault Injection Testing |
faultinjectiontesting.googleapis.com |
| Filestore |
file.googleapis.com |
| API de Financial Services |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Reglas de seguridad de Firebase |
firebaserules.googleapis.com |
| API de Firebase Storage |
firebasestorage.googleapis.com |
| Firestore |
firestore.googleapis.com firestorekeyvisualizer.googleapis.com |
| Firestore en modo Datastore (Datastore) |
datastore.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| API de GKE Enterprise Edge |
anthosedge.googleapis.com |
| Hub (flota) |
gkehub.googleapis.com |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
| GKE Multi-Cloud |
gkemulticloud.googleapis.com |
| API de GKE On-Prem |
gkeonprem.googleapis.com |
| API de Gemini for Google Cloud |
cloudaicompanion.googleapis.com |
| API de Google Cloud |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Centro de migración de Google Cloud |
migrationcenter.googleapis.com rapidmigrationassessment.googleapis.com |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Cloud VMware Engine |
vmwareengine.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com containerfilesystem.googleapis.com configdelivery.googleapis.com |
| API de Google Security Operations Partner |
chroniclepartner.googleapis.com |
| Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| Complementos de Google Workspace |
gsuiteaddons.googleapis.com |
| Identity and Access Management |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Conectores de Integration |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| API de License Manager |
licensemanager.googleapis.com |
| API de Live Stream |
livestream.googleapis.com |
| Looker |
looker.googleapis.com |
| Motor de BigQuery para Apache Flink |
managedflink.googleapis.com |
| API de Managed Kafka |
managedkafka.googleapis.com |
| Servicio administrado para Microsoft Active Directory |
managedidentities.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore para Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| Memorystore para Valkey |
memorystore.googleapis.com |
| API de Message Streams |
messagestreams.googleapis.com |
| API de Microservices |
microservices.googleapis.com |
| Migrate to Virtual Machines |
vmmigration.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Niveles de servicio de red |
compute.googleapis.com |
| Oracle Database@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Personalized Service Health |
servicehealth.googleapis.com |
| Policy Intelligence |
policyanalyzer.googleapis.com policysimulator.googleapis.com policytroubleshooter.googleapis.com |
| Privileged Access Manager |
privilegedaccessmanager.googleapis.com |
| Lanzamiento progresivo |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Recomendador |
recommender.googleapis.com |
| Ejecución de compilación remota |
remotebuildexecution.googleapis.com |
| API de Retail |
retail.googleapis.com |
| Cyber Insurance Hub |
riskmanager.googleapis.com |
| API de SaaS Service Management |
saasservicemgmt.googleapis.com |
| API de SecLM |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| API de Secured Landing Zone |
securedlandingzone.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| API de Service Account Credentials |
iamcredentials.googleapis.com |
| Directorio de servicios |
servicedirectory.googleapis.com |
| Administración de servicio |
servicemanagement.googleapis.com |
| Service Networking |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Speech‑to‑Text |
speech.googleapis.com |
| Storage Insights |
storageinsights.googleapis.com |
| Servicio de transferencia de almacenamiento |
storagebatchoperations.googleapis.com storagetransfer.googleapis.com |
| Talent Solution |
jobs.googleapis.com |
| Text-to-Speech |
texttospeech.googleapis.com |
| API de Timeseries Insights |
timeseriesinsights.googleapis.com |
| API de Transcoder |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| La API de Vertex AI |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI en Firebase |
firebasevertexai.googleapis.com |
| API de Video Intelligence |
videointelligence.googleapis.com |
| API de Video Search |
cloudvideosearch.googleapis.com |
| API de Video Stitcher |
videostitcher.googleapis.com |
| Nube privada virtual (VPC) |
compute.googleapis.com |
| Vision AI |
visionai.googleapis.com |
| Visual Inspection AI |
visualinspection.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com workflowexecutions.googleapis.com |
| API de Workload Certificate |
workloadcertificate.googleapis.com |
| Administrador de cargas de trabajo |
workloadmanager.googleapis.com |
| reCAPTCHA Enterprise |
recaptchaenterprise.googleapis.com |
Servicios no admitidos
La restricción de la política de la organización Restringir conjuntos de algoritmos de cifrado TLS no se aplica a los siguientes servicios:
- Apigee (
*.apigee.net,*.apigee.comy*.apigee.io) - App Engine (
*.appspot.com) - Cloud Run Functions (
*.cloudfunctions.net) - Cloud Run (
*.run.app) - Private Service Connect
- Dominios personalizados
Para restringir los conjuntos de algoritmos de cifrado TLS para estos servicios, usa Cloud Load Balancing junto con la política de seguridad de SSL.
Preferencia deGoogle Cloud conjunto de algoritmos de cifrado
Los extremos de los servicios admitidos priorizan los conjuntos de algoritmos de cifrado en el siguiente orden, del más preferido al menos preferido:
- AES-256
- AES-128
- ChaCha20
Durante el protocolo de enlace TLS, el servidor selecciona el conjunto de algoritmos de cifrado más preferido que admiten tanto el cliente como el servidor. Por lo general, este proceso de selección no requiere ningún cambio de configuración específico del lado del cliente.
El protocolo de enlace TLS se produce antes de la verificación de la política Restringir conjuntos de algoritmos de cifrado TLS y es independiente de la verificación de la política. Por lo tanto, el conjunto de algoritmos de cifrado negociado durante el protocolo de enlace TLS también debe permitirse en la verificación de la política Restringir conjuntos de algoritmos de cifrado TLS. De lo contrario, se deniega la conexión. El propietario de la política es responsable de configurar la política Restringir conjuntos de algoritmos de cifrado TLS y las aplicaciones cliente para permitir el conjunto de algoritmos de cifrado negociado.