Membatasi cipher suite TLS
Halaman ini menjelaskan cara mencegah akses ke resource Google Cloud dengan menolak permintaan yang dibuat menggunakan cipher suite Transport Layer Security (TLS) yang kurang aman tertentu.
Ringkasan
Google Cloud mendukung beberapa cipher suite TLS. Untuk memenuhi persyaratan keamanan atau kepatuhan, Anda mungkin ingin menolak permintaan dari klien yang menggunakan cipher suite TLS yang kurang aman.
Kemampuan ini disediakan oleh batasan kebijakan organisasi gcp.restrictTLSCipherSuites.
Batasan dapat diterapkan pada organisasi, folder, atau project dalam
hierarki resource.
Anda dapat menggunakan batasan gcp.restrictTLSCipherSuites sebagai daftar yang diizinkan atau sebagai daftar yang ditolak:
- Daftar yang diizinkan: Mengizinkan serangkaian cipher suite tertentu. Semua lainnya ditolak.
- Daftar penolakan: Menolak serangkaian cipher suite tertentu. Semua lainnya diizinkan.
Karena perilaku evaluasi hierarki kebijakan organisasi, batasan Restrict TLS cipher suites berlaku untuk node resource yang ditentukan dan semua turunannya. Misalnya, jika Anda hanya mengizinkan cipher suite TLS tertentu untuk organisasi, cipher suite tersebut juga berlaku untuk semua folder dan project (turunan) yang berasal dari organisasi tersebut.
Sebelum memulai
Untuk mendapatkan izin yang diperlukan untuk menetapkan, mengubah, atau menghapus kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Menetapkan kebijakan organisasi
Batasan Restrict TLS cipher suites adalah jenis batasan daftar. Anda dapat menambahkan dan
menghapus rangkaian sandi dari daftar allowed_values atau denied_values dari
batasan Rangkaian sandi TLS yang dibatasi. Untuk mencegah kebijakan organisasi menjadi terlalu
membatasi dan untuk menyederhanakan pengelolaan kebijakan, gunakan
grup nilai. Grup nilai adalah rangkaian sandi TLS
yang direkomendasikan dan dikurasi oleh Google.
Konsol
Buka halaman Organization policies di konsol Google Cloud .
Pilih pemilih project di bagian atas halaman.
Dari pemilih project, pilih resource yang ingin Anda tetapkan kebijakan organisasinya.
Pilih batasan Batasi cipher suite TLS dari daftar di halaman Kebijakan organisasi.
Untuk memperbarui kebijakan organisasi untuk resource ini, klik Kelola kebijakan.
Pada halaman Edit, pilih Customize.
Di bagian Penerapan kebijakan, pilih opsi penerapan:
Untuk menggabungkan dan mengevaluasi kebijakan organisasi Anda, pilih Gabungkan dengan induk. Untuk mengetahui informasi selengkapnya tentang pewarisan dan hierarki resource, lihat Memahami evaluasi hierarki.
Untuk mengganti kebijakan yang diwarisi dari resource induk, pilih Ganti.
Klik Tambahkan Aturan.
Di bagian Policy values, pilih Custom.
Di bagian Jenis kebijakan, pilih Izinkan untuk membuat daftar cipher suite yang diizinkan, atau pilih Tolak untuk membuat daftar cipher suite yang ditolak.
Di bagian Custom values, masukkan awalan
in:dan string grup nilai, lalu tekan Enter.Misalnya,
in:NIST-800-52-recommended-ciphers. Anda dapat memasukkan beberapa string grup nilai dengan mengklik Tambahkan nilai.Anda juga dapat memasukkan string cipher suite tertentu menggunakan awalan
is:. Untuk mengetahui daftar nilai yang didukung, lihat cipher suite yang didukung.
Untuk menerapkan kebijakan, klik Set policy.
gcloud
Untuk membuat kebijakan organisasi yang menerapkan batasan Restrict TLS Cipher Suites, buat file YAML kebijakan yang merujuk batasan tersebut:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Untuk menerapkan kebijakan organisasi yang berisi batasan, jalankan perintah berikut:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Ganti kode berikut:
RESOURCE_TYPEdenganorganization,folder, atauproject.RESOURCE_IDdengan ID organisasi, ID folder, ID project, atau nomor project Anda.POLICY_PATHdengan jalur lengkap ke file YAML yang berisi kebijakan organisasi.
Respons ditampilkan dengan hasil kebijakan organisasi baru:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Grup nilai
Grup nilai adalah kumpulan cipher suite yang dipilih oleh Google untuk menyediakan cara yang lebih mudah dalam menentukan cipher suite TLS pilihan atau yang direkomendasikan. Grup nilai mencakup beberapa rangkaian sandi dan diperluas seiring waktu oleh Google. Anda tidak perlu mengubah kebijakan organisasi untuk mengakomodasi cipher suite baru.
Untuk menggunakan grup nilai dalam kebijakan organisasi Anda, beri awalan pada entri Anda dengan
string in:. Untuk mengetahui informasi selengkapnya tentang penggunaan awalan nilai, lihat
Menggunakan Batasan.
Nama grup nilai divalidasi pada panggilan untuk menetapkan kebijakan organisasi.
Penggunaan nama grup yang tidak valid akan menyebabkan setelan kebijakan gagal.
Tabel berikut berisi daftar grup yang tersedia saat ini:
| Grup | Detail | Anggota langsung |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Cipher yang direkomendasikan CNSA 2.0 yang didukung oleh Google Cloud:in:CNSA-2.0-recommended-ciphers |
Nilai:
|
| NIST-800-52-recommended-ciphers | Cipher yang direkomendasikan NIST SP 800-52 yang didukung oleh Google Cloud:in:NIST-800-52-recommended-ciphers |
Nilai:
|
Cipher suite yang didukung
Berikut adalah daftar rangkaian sandi yang didukung oleh Google Cloud.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Pesan error
Layanan yang mendukung batasan Batasi cipher suite TLS menolak permintaan yang melanggar batasan.
Contoh pesan error
Pesan error memiliki format yang mirip dengan contoh berikut:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
Output ini mencakup nilai-nilai berikut:
PROJECT_NUMBER: nomor project yang menghosting resource yang dirujuk dalam perintah sebelumnya.SERVICE_NAME: nama layanan dalam cakupan yang diblokir oleh kebijakan Batasi cipher suite TLS.TLS_Cipher_Suite_X: TLS Cipher suite yang digunakan dalam permintaan.
Contoh Cloud Audit Log
Entri log audit juga dibuat untuk pemantauan, pemberitahuan, atau proses debug lebih lanjut. Entri log audit terlihat mirip dengan contoh berikut:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Menguji kebijakan
Anda dapat menguji batasan kebijakan pembatasan sandi TLS untuk
layanan dalam cakupan. Contoh perintah curl berikut memvalidasi cipher suite TLS yang dibatasi untuk ring kunci Cloud Key Management Service.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Ganti variabel berikut:
TLS_CIPHER_SUITE: nama cipher suite TLS dalam konvensi penamaan OpenSSL, misalnyaECDHE-ECDSA-AES128-SHAyang merupakan nama OpenSSL untukTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: Nama project yang berisi key ring
Contoh permintaan curl berikut menunjukkan PROJECT_ID yang ditetapkan ke
my-project-id dan TLS_CIPHER_SUITE yang ditetapkan ke ECDHE-ECDSA-AES128-SHA:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Jika kebijakan organisasi untuk 'my-project-id' dikonfigurasi untuk menolak
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA , maka setiap upaya untuk mengakses resource
dengan sandi dalam project yang dibatasi kebijakan dalam contoh perintah ini akan gagal.
Pesan error yang mirip dengan contoh berikut akan ditampilkan yang menjelaskan alasan kegagalan ini.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Membuat kebijakan organisasi dalam mode uji coba
Kebijakan organisasi dalam mode uji coba adalah jenis kebijakan organisasi yang pelanggaran kebijakannya dicatat dalam audit, tetapi tindakan yang melanggar tidak ditolak. Anda dapat membuat kebijakan organisasi dalam mode uji coba menggunakan batasan Pembatasan Cipher Suite TLS untuk memantau pengaruhnya terhadap organisasi Anda sebelum Anda menerapkan kebijakan aktif. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan organisasi dalam mode uji coba.
Layanan yang didukung
Layanan berikut mendukung fitur Batasi cipher suite TLS. Batasan ini berlaku untuk semua variasi endpoint API, termasuk endpoint global, lokasi, dan regional. Lihat halaman Jenis endpoint API untuk mengetahui informasi selengkapnya.
| Produk | Endpoint API |
|---|---|
| AI Platform |
ml.googleapis.com |
| Gateway API |
apigateway.googleapis.com |
| Kunci API |
apikeys.googleapis.com |
| Access Context Manager |
accesscontextmanager.googleapis.com |
| AlloyDB untuk PostgreSQL |
alloydb.googleapis.com |
| Hub API Apigee |
apihub.googleapis.com |
| Apigee API Management API |
apim.googleapis.com |
| Apigee Connect API |
apigeeconnect.googleapis.com |
| API portal Apigee |
apigeeportal.googleapis.com |
| Apigee Registry API |
apigeeregistry.googleapis.com |
| Apigee |
apigee.googleapis.com |
| App Config Manager API |
appconfigmanager.googleapis.com |
| App Engine |
appengine.googleapis.com |
| Hub Aplikasi |
apphub.googleapis.com |
| Application Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Assured Open Source Software |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Audit Manager |
auditmanager.googleapis.com |
| Authorization Toolkit API |
authztoolkit.googleapis.com |
| Backup and DR Service |
backupdr.googleapis.com |
| Pencadangan untuk GKE |
gkebackup.googleapis.com |
| Solusi Bare Metal |
baremetalsolution.googleapis.com |
| Batch |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery BI Engine |
bigquerybiengine.googleapis.com |
| Koneksi BigQuery |
bigqueryconnection.googleapis.com |
| Kebijakan Data BigQuery |
bigquerydatapolicy.googleapis.com |
| BigQuery Data Transfer |
bigquerydatatransfer.googleapis.com |
| BigQuery Migration |
bigquerymigration.googleapis.com |
| Reservasi BigQuery |
bigqueryreservation.googleapis.com |
| BigQuery Saved Query API |
bigquery-sq.googleapis.com |
| BigQuery Storage |
bigquerystorage.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| Berbagi BigQuery |
analyticshub.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Otorisasi Biner |
binaryauthorization.googleapis.com |
| Blockchain Analytics |
blockchain.googleapis.com |
| Blockchain Node Engine |
blockchainnodeengine.googleapis.com |
| Blockchain Validator Manager |
blockchainvalidatormanager.googleapis.com |
| Capacity Planner |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Certificate Manager |
certificatemanager.googleapis.com |
| Inventaris Aset Cloud |
cloudasset.googleapis.com |
| Penagihan Cloud |
cloudbilling.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| Cloud Commerce Consumer Procurement API |
cloudcommerceconsumerprocurement.googleapis.com |
| Cloud Commerce Producer API |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| Cloud Controls Partner API |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deploy |
clouddeploy.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| Cloud Healthcare API |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Cloud Intrusion Detection System |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com kmsinventory.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com genomics.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| Cloud Natural Language API |
language.googleapis.com |
| Cloud Next Generation Firewall Essentials |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud OS Login API |
oslogin.googleapis.com |
| Kuota Cloud |
cloudquotas.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com runapps.googleapis.com |
| Cloud SQL |
cloudsql.googleapis.com sqladmin.googleapis.com |
| Cloud Scheduler |
cloudscheduler.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com meshca.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
| Cloud Source Repositories |
sourcerepo.googleapis.com |
| Cloud Storage |
storage.googleapis.com |
| Cloud Support API |
cloudsupport.googleapis.com |
| Cloud TPU |
tpu.googleapis.com |
| Cloud Tool Results API |
toolresults.googleapis.com |
| Cloud Trace |
cloudtrace.googleapis.com |
| Cloud Translation |
translate.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| Commerce Agreement Publishing API |
commerceagreementpublishing.googleapis.com |
| Commerce Business Enablement API |
commercebusinessenablement.googleapis.com |
| Commerce Org Governance API |
commerceorggovernance.googleapis.com |
| Commerce Price Management API |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Confidential Computing |
confidentialcomputing.googleapis.com |
| Connect |
gkeconnect.googleapis.com |
| Menghubungkan gateway |
connectgateway.googleapis.com |
| Contact Center AI Platform API |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| Content Warehouse API |
contentwarehouse.googleapis.com |
| Continuous Validation API |
continuousvalidation.googleapis.com |
| Insight Berbasis Percakapan |
contactcenterinsights.googleapis.com |
| Data Catalog |
datacatalog.googleapis.com |
| Data Labeling API |
datalabeling.googleapis.com |
| Data Security Posture Management API |
dspm.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| Pusat Database |
databasecenter.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataform |
dataform.googleapis.com |
| Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc Metastore |
metastore.googleapis.com |
| Dataproc |
dataproc.googleapis.com dataprocrm.googleapis.com |
| Dataproc on GDC |
dataprocgdc.googleapis.com |
| Datastream |
datastream.googleapis.com |
| Developer Connect |
developerconnect.googleapis.com |
| Distributed Cloud Edge Container API |
edgecontainer.googleapis.com |
| Distributed Cloud Edge Network API |
edgenetwork.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| Earth Engine API |
earthengine.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Kontak Penting |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com eventarcpublishing.googleapis.com |
| Pengujian Injeksi Kesalahan |
faultinjectiontesting.googleapis.com |
| Filestore |
file.googleapis.com |
| Financial Services API |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Aturan Keamanan Firebase |
firebaserules.googleapis.com |
| Firebase Storage API |
firebasestorage.googleapis.com |
| Firestore |
firestore.googleapis.com firestorekeyvisualizer.googleapis.com |
| Firestore dalam mode Datastore (Datastore) |
datastore.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| GKE Enterprise Edge API |
anthosedge.googleapis.com |
| Hub (Fleet) |
gkehub.googleapis.com |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
| GKE Multi-Cloud |
gkemulticloud.googleapis.com |
| GKE On-Prem API |
gkeonprem.googleapis.com |
| Gemini for Google Cloud API |
cloudaicompanion.googleapis.com |
| Google Cloud API |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Google Cloud Migration Center |
migrationcenter.googleapis.com rapidmigrationassessment.googleapis.com |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Cloud VMware Engine |
vmwareengine.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com containerfilesystem.googleapis.com configdelivery.googleapis.com |
| Google Security Operations Partner API |
chroniclepartner.googleapis.com |
| Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| Add-on Google Workspace |
gsuiteaddons.googleapis.com |
| Identity and Access Management |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Integration Connectors |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| License Manager API |
licensemanager.googleapis.com |
| Live Stream API |
livestream.googleapis.com |
| Looker |
looker.googleapis.com |
| BigQuery Engine untuk Apache Flink |
managedflink.googleapis.com |
| Managed Kafka API |
managedkafka.googleapis.com |
| Layanan Terkelola untuk Microsoft Active Directory |
managedidentities.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore for Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| Memorystore for Valkey |
memorystore.googleapis.com |
| Message Streams API |
messagestreams.googleapis.com |
| Microservices API |
microservices.googleapis.com |
| Migrate to Virtual Machines |
vmmigration.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Network Service Tiers |
compute.googleapis.com |
| Oracle Database@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Personalized Service Health |
servicehealth.googleapis.com |
| Policy Intelligence |
policyanalyzer.googleapis.com policysimulator.googleapis.com policytroubleshooter.googleapis.com |
| Privileged Access Manager |
privilegedaccessmanager.googleapis.com |
| Peluncuran Progresif |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Pemberi Rekomendasi |
recommender.googleapis.com |
| Remote Build Execution |
remotebuildexecution.googleapis.com |
| Retail API |
retail.googleapis.com |
| Cyber Insurance Hub |
riskmanager.googleapis.com |
| SaaS Service Management API |
saasservicemgmt.googleapis.com |
| SecLM API |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| Secured Landing Zone API |
securedlandingzone.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| Service Account Credentials API |
iamcredentials.googleapis.com |
| Direktori Layanan |
servicedirectory.googleapis.com |
| Pengelolaan Layanan |
servicemanagement.googleapis.com |
| Service Networking |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| ID Pembicara |
speakerid.googleapis.com |
| Speech-to-Text |
speech.googleapis.com |
| Storage Insights |
storageinsights.googleapis.com |
| Storage Transfer Service |
storagebatchoperations.googleapis.com storagetransfer.googleapis.com |
| Talent Solution |
jobs.googleapis.com |
| Text-to-Speech |
texttospeech.googleapis.com |
| Timeseries Insights API |
timeseriesinsights.googleapis.com |
| Transcoder API |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| Vertex AI API |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI in Firebase |
firebasevertexai.googleapis.com |
| Video Intelligence API |
videointelligence.googleapis.com |
| Video Search API |
cloudvideosearch.googleapis.com |
| Video Stitcher API |
videostitcher.googleapis.com |
| Virtual Private Cloud (VPC) |
compute.googleapis.com |
| Vision AI |
visionai.googleapis.com |
| Visual Inspection AI |
visualinspection.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com workflowexecutions.googleapis.com |
| Workload Certificate API |
workloadcertificate.googleapis.com |
| Workload Manager |
workloadmanager.googleapis.com |
| reCAPTCHA Enterprise |
recaptchaenterprise.googleapis.com |
Layanan yang tidak didukung
Batasan kebijakan organisasi Batasi cipher suite TLS tidak berlaku untuk layanan berikut:
- Apigee (
*.apigee.net,*.apigee.com, dan*.apigee.io) - App Engine (
*.appspot.com) - Cloud Run Functions (
*.cloudfunctions.net), - Cloud Run (
*.run.app) - Private Service Connect
- Domain kustom
Untuk membatasi cipher suite TLS untuk layanan ini, gunakan Cloud Load Balancing bersama dengan kebijakan keamanan SSL.
PreferensiGoogle Cloud cipher suite
Endpoint untuk layanan yang didukung memprioritaskan cipher suite dalam urutan berikut, dari yang paling hingga yang paling tidak disukai:
- AES-256
- AES-128
- ChaCha20
Selama TLS handshake, server memilih cipher suite yang paling disukai yang didukung oleh klien dan server. Proses pemilihan ini biasanya tidak memerlukan perubahan konfigurasi tertentu di sisi klien.
TLS handshake terjadi sebelum pemeriksaan kebijakan Restrict TLS cipher suites dan terpisah dari pemeriksaan kebijakan. Akibatnya, cipher suite yang dinegosiasikan selama TLS handshake juga harus diizinkan oleh pemeriksaan kebijakan Batasi cipher suite TLS. Jika tidak, koneksi akan ditolak. Pemilik kebijakan bertanggung jawab untuk mengonfigurasi Batasi cipher suite TLS dan aplikasi klien untuk mengizinkan cipher suite yang dinegosiasikan.