Restrinja os conjuntos de cifras TLS
Esta página descreve como pode impedir o acesso a Google Cloud recursos recusando pedidos feitos através de determinados conjuntos de cifras Transport Layer Security (TLS) menos seguros.
Vista geral
Google Cloud Suporta vários conjuntos de cifras TLS. Para cumprir os requisitos de segurança ou conformidade, pode querer recusar pedidos de clientes que usam conjuntos de cifras TLS menos seguros.
Esta capacidade é fornecida pela gcp.restrictTLSCipherSuites
restrição da política da organização.
A restrição pode ser aplicada a organizações, pastas ou projetos na
hierarquia de recursos.
Pode usar a restrição gcp.restrictTLSCipherSuites como uma lista de permissões ou uma lista de exclusões:
- Lista de autorizações: permite um conjunto específico de conjuntos de cifras. Todos os outros são recusados.
- Lista de recusa: Recusa um conjunto específico de conjuntos de cifras. Todos os outros são permitidos.
Devido ao comportamento da avaliação da hierarquia de políticas da organização, a restrição Restrict TLS cipher suites aplica-se ao nó de recurso especificado e a todos os respetivos filhos. Por exemplo, se permitir apenas determinados conjuntos de cifras TLS para uma organização, isso também se aplica a todas as pastas e projetos (entidades secundárias) que descendem dessa organização.
Antes de começar
Para obter as autorizações de que
precisa para definir, alterar ou eliminar políticas de organização,
peça ao seu administrador para lhe conceder a
função do IAM Administrador de políticas de organização (roles/orgpolicy.policyAdmin)
na organização.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Definir a política da organização
A restrição Restrict TLS cipher suites é um tipo de restrição de lista. Pode adicionar e remover conjuntos de cifras das listas allowed_values ou denied_values de uma restrição de conjuntos de cifras TLS. Para evitar que as políticas da organização sejam demasiado restritivas e simplificar a gestão de políticas, use grupos de valores. Os grupos de valores são conjuntos de cifras TLS recomendados e selecionados pela Google.
Consola
Abra a página Políticas de organização na Google Cloud consola.
Selecione o selecionador de projetos na parte superior da página.
No seletor de projetos, selecione o recurso para o qual quer definir a política da organização.
Selecione a restrição Restringir conjuntos de cifras TLS na lista da página Políticas da organização.
Para atualizar a política da organização para este recurso, clique em Gerir política.
Na página Editar, selecione Personalizar.
Em Aplicação de políticas, selecione uma opção de aplicação:
Para unir e avaliar as políticas da sua organização em conjunto, selecione Unir com principal. Para mais informações sobre a herança e a hierarquia de recursos, consulte o artigo Compreender a avaliação da hierarquia.
Para substituir as políticas herdadas de um recurso principal, selecione Substituir.
Clique em Adicionar regra.
Em Valores da política, selecione Personalizado.
Em Tipo de política, selecione Permitir para criar uma lista de conjuntos de cifras permitidos ou selecione Recusar para criar uma lista de conjuntos de cifras recusados.
Em Valores personalizados, introduza o prefixo
in:e uma string de grupo de valores e, de seguida, prima Enter.Por exemplo,
in:NIST-800-52-recommended-ciphers. Pode introduzir várias strings de grupos de valores clicando em Adicionar valor.Também pode introduzir strings de conjuntos de cifras específicos através do prefixo
is:. Para ver uma lista de valores suportados, consulte as suites de cifragem suportadas.
Para aplicar a política, clique em Definir política.
gcloud
Para criar uma política da organização que aplique a restrição Restrict TLS Cipher Suites, crie um ficheiro YAML de política que faça referência à restrição:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Para aplicar a política da organização que contém a restrição, execute o seguinte comando:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Substitua o seguinte:
RESOURCE_TYPEcomorganization,folderouproject.RESOURCE_IDcom o ID da organização, o ID da pasta, o ID do projeto ou o número do projeto.POLICY_PATHcom o caminho completo para o ficheiro YAML que contém a política da organização.
É devolvida uma resposta com os resultados da nova política de organização:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Grupos de valores
Os grupos de valores são coleções de conjuntos de cifras selecionados pela Google para oferecer uma forma mais simples de definir conjuntos de cifras TLS preferidos ou recomendados. Os grupos de valores incluem vários conjuntos de cifras e são expandidos ao longo do tempo pela Google. Não precisa de alterar a política da sua organização para acomodar os novos conjuntos de cifras.
Para usar grupos de valores na sua política da organização, prefixe as entradas com a string in:. Para mais informações sobre a utilização de prefixos de valores, consulte o artigo
Usar restrições.
Os nomes dos grupos de valores são validados na chamada para definir a política da organização.
A utilização de um nome de grupo inválido faz com que a definição da política falhe.
A tabela seguinte contém a lista atual de grupos disponíveis:
| Grupo | Detalhes | Membros diretos |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Cifras recomendadas do CNSA 2.0 suportadas pelo Google Cloud:in:CNSA-2.0-recommended-ciphers |
Valores:
|
| NIST-800-52-recommended-ciphers | Cifras recomendadas pela NIST SP 800-52 suportadas pelo Google Cloud:in:NIST-800-52-recommended-ciphers |
Valores:
|
Conjuntos de cifras suportados
Esta é a lista de conjuntos de cifras suportados pelo Google Cloud.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Mensagem de erro
Os serviços que suportam a restrição de conjuntos de cifras TLS recusam pedidos que violem a restrição.
Exemplo de mensagem de erro
A mensagem de erro tem um formato semelhante ao seguinte exemplo:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
Esta saída inclui os seguintes valores:
PROJECT_NUMBER: o número do projeto que aloja o recurso referido no comando anterior.SERVICE_NAME: o nome do serviço no âmbito bloqueado pela política Restringir conjuntos de cifras TLS.TLS_Cipher_Suite_X: o conjunto de cifras TLS usado no pedido.
Exemplo de registo de auditoria do Cloud
Também é gerada uma entrada no registo de auditoria para monitorização, alertas ou depuração adicionais. A entrada do registo de auditoria é semelhante ao exemplo seguinte:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Teste a política
Pode testar a restrição da política de cifras TLS para qualquer serviço no âmbito. O exemplo seguinte do comando curlvalida
as restrições dos conjuntos de cifras TLS para um conjunto de chaves do Cloud Key Management Service.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Substitua as seguintes variáveis:
TLS_CIPHER_SUITE: o nome do conjunto de cifras TLS na convenção de nomenclatura do OpenSSL, por exemplo,ECDHE-ECDSA-AES128-SHA, que é o nome do OpenSSL paraTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: nome do projeto que contém o conjunto de chaves
O exemplo de pedido curl seguinte mostra PROJECT_ID definido como
my-project-id e TLS_CIPHER_SUITE definido como ECDHE-ECDSA-AES128-SHA:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Se a política de organização para "my-project-id" estiver configurada para recusar
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA , qualquer tentativa de aceder a recursos
com a cifra no projeto restrito por políticas neste exemplo falha.
É devolvida uma mensagem de erro semelhante ao exemplo seguinte que descreve o motivo desta falha.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Crie uma política da organização no modo de execução de ensaio
Uma política da organização no modo de execução de ensaio é um tipo de política da organização em que as violações da política são registadas em auditoria, mas as ações que violam a política não são negadas. Pode criar uma política organizacional no modo de teste usando a restrição do conjunto de cifras TLS para monitorizar como afetaria a sua organização antes de aplicar a política ativa. Para mais informações, consulte o artigo Crie uma política de organização no modo de teste.
Serviços suportados
Os seguintes serviços suportam a restrição de conjuntos de cifras TLS. A restrição aplica-se a todas as variações do ponto final da API, incluindo pontos finais globais, de localização e regionais. Consulte a página Tipos de pontos finais da API para mais informações.
| Produto | Ponto final da API |
|---|---|
| AI Platform |
ml.googleapis.com |
| API Gateway |
apigateway.googleapis.com |
| Chaves da API |
apikeys.googleapis.com |
| Gestor de acesso sensível ao contexto |
accesscontextmanager.googleapis.com |
| AlloyDB para PostgreSQL |
alloydb.googleapis.com |
| Hub de APIs Apigee |
apihub.googleapis.com |
| API Apigee API Management |
apim.googleapis.com |
| API Apigee Connect |
apigeeconnect.googleapis.com |
| API do portal do Apigee |
apigeeportal.googleapis.com |
| API Apigee Registry |
apigeeregistry.googleapis.com |
| Apigee |
apigee.googleapis.com |
| API App Config Manager |
appconfigmanager.googleapis.com |
| App Engine |
appengine.googleapis.com |
| App Hub |
apphub.googleapis.com |
| Centro de design de aplicações |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Assured Open Source Software |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Gestor de auditorias |
auditmanager.googleapis.com |
| API Authorization Toolkit |
authztoolkit.googleapis.com |
| Serviço de cópias de segurança e RD |
backupdr.googleapis.com |
| Cópia de segurança do GKE |
gkebackup.googleapis.com |
| Solução Bare Metal |
baremetalsolution.googleapis.com |
| Lote |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery BI Engine |
bigquerybiengine.googleapis.com |
| Ligações do BigQuery |
bigqueryconnection.googleapis.com |
| Política de dados do BigQuery |
bigquerydatapolicy.googleapis.com |
| Transferência de dados do BigQuery |
bigquerydatatransfer.googleapis.com |
| Migração do BigQuery |
bigquerymigration.googleapis.com |
| Reserva do BigQuery |
bigqueryreservation.googleapis.com |
| API BigQuery Saved Query |
bigquery-sq.googleapis.com |
| BigQuery Storage |
bigquerystorage.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| Partilha do BigQuery |
analyticshub.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Autorização binária |
binaryauthorization.googleapis.com |
| Blockchain Analytics |
blockchain.googleapis.com |
| Blockchain Node Engine |
blockchainnodeengine.googleapis.com |
| Blockchain Validator Manager |
blockchainvalidatormanager.googleapis.com |
| Capacity Planner |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Gestor de certificados |
certificatemanager.googleapis.com |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
| Cloud Billing |
cloudbilling.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| API Cloud Commerce Consumer Procurement |
cloudcommerceconsumerprocurement.googleapis.com |
| API Cloud Commerce Producer |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| Cloud Controls Partner API |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deploy |
clouddeploy.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| API Cloud Healthcare |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Sistema de deteção de intrusos do Cloud |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com kmsinventory.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com genomics.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| NAT na nuvem |
compute.googleapis.com |
| API Cloud Natural Language |
language.googleapis.com |
| Cloud Next Generation Firewall Essentials |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| API Cloud OS Login |
oslogin.googleapis.com |
| Cloud Quotas |
cloudquotas.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com runapps.googleapis.com |
| Cloud SQL |
cloudsql.googleapis.com sqladmin.googleapis.com |
| Cloud Scheduler |
cloudscheduler.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com meshca.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
| Cloud Source Repositories |
sourcerepo.googleapis.com |
| Cloud Storage |
storage.googleapis.com |
| Cloud Support API |
cloudsupport.googleapis.com |
| Cloud TPU |
tpu.googleapis.com |
| API Cloud Tool Results |
toolresults.googleapis.com |
| Cloud Trace |
cloudtrace.googleapis.com |
| Cloud Translation |
translate.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| API Commerce Agreement Publishing |
commerceagreementpublishing.googleapis.com |
| API Commerce Business Enablement |
commercebusinessenablement.googleapis.com |
| API Commerce Org Governance |
commerceorggovernance.googleapis.com |
| API Commerce Price Management |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Computação confidencial |
confidentialcomputing.googleapis.com |
| Ligar |
gkeconnect.googleapis.com |
| Ligue o gateway |
connectgateway.googleapis.com |
| Contact Center AI Platform API |
contactcenteraiplatform.googleapis.com |
| Deteção de ameaças de contentores |
containerthreatdetection.googleapis.com |
| API Content Warehouse |
contentwarehouse.googleapis.com |
| API Continuous Validation |
continuousvalidation.googleapis.com |
| Conversational Insights |
contactcenterinsights.googleapis.com |
| Data Catalog |
datacatalog.googleapis.com |
| API Data Labeling |
datalabeling.googleapis.com |
| API Data Security Posture Management |
dspm.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| Centro de bases de dados |
databasecenter.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataform |
dataform.googleapis.com |
| Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc Metastore |
metastore.googleapis.com |
| Dataproc |
dataproc.googleapis.com dataprocrm.googleapis.com |
| Dataproc na GDC |
dataprocgdc.googleapis.com |
| Datastream |
datastream.googleapis.com |
| Developer Connect |
developerconnect.googleapis.com |
| API Distributed Cloud Edge Container |
edgecontainer.googleapis.com |
| API Distributed Cloud Edge Network |
edgenetwork.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| Earth Engine API |
earthengine.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Contactos essenciais |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com eventarcpublishing.googleapis.com |
| Testes de injeção de falhas |
faultinjectiontesting.googleapis.com |
| Filestore |
file.googleapis.com |
| API Financial Services |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Regras de segurança do Firebase |
firebaserules.googleapis.com |
| API Firebase Storage |
firebasestorage.googleapis.com |
| Firestore |
firestore.googleapis.com firestorekeyvisualizer.googleapis.com |
| Firestore no modo Datastore (Datastore) |
datastore.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| GKE Enterprise Edge API |
anthosedge.googleapis.com |
| Hub (Fleet) |
gkehub.googleapis.com |
| GKE Identity Service |
anthosidentityservice.googleapis.com |
| GKE Multi-cloud |
gkemulticloud.googleapis.com |
| API GKE On-Prem |
gkeonprem.googleapis.com |
| API Gemini para o Google Cloud |
cloudaicompanion.googleapis.com |
| Google Cloud API |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Google Cloud Migration Center |
migrationcenter.googleapis.com rapidmigrationassessment.googleapis.com |
| Google Cloud NetApp Volumes |
netapp.googleapis.com |
| Observabilidade do Google Cloud |
stackdriver.googleapis.com |
| Google Cloud VMware Engine |
vmwareengine.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com containerfilesystem.googleapis.com configdelivery.googleapis.com |
| API Google Security Operations Partner |
chroniclepartner.googleapis.com |
| SIEM do Google Security Operations |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| Suplementos do Google Workspace |
gsuiteaddons.googleapis.com |
| Gestão de identidade e de acesso |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Integration Connectors |
connectors.googleapis.com |
| API KRM Hosting |
krmapihosting.googleapis.com |
| API License Manager |
licensemanager.googleapis.com |
| API Live Stream |
livestream.googleapis.com |
| Looker |
looker.googleapis.com |
| BigQuery Engine para Apache Flink |
managedflink.googleapis.com |
| API Kafka gerida |
managedkafka.googleapis.com |
| Serviço gerido para o Microsoft Active Directory |
managedidentities.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore for Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| Memorystore for Valkey |
memorystore.googleapis.com |
| API Message Streams |
messagestreams.googleapis.com |
| Microservices API |
microservices.googleapis.com |
| Migre para máquinas virtuais |
vmmigration.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Níveis de serviço de rede |
compute.googleapis.com |
| Oracle Database@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Personalized Service Health |
servicehealth.googleapis.com |
| Inteligência de políticas |
policyanalyzer.googleapis.com policysimulator.googleapis.com policytroubleshooter.googleapis.com |
| Gestor de acessos privilegiados |
privilegedaccessmanager.googleapis.com |
| Implementação progressiva |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Recomendador |
recommender.googleapis.com |
| Execução de compilação remota |
remotebuildexecution.googleapis.com |
| API Retail |
retail.googleapis.com |
| Cyber Insurance Hub |
riskmanager.googleapis.com |
| API SaaS Service Management |
saasservicemgmt.googleapis.com |
| SecLM API |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| API Secured Landing Zone |
securedlandingzone.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| API Service Account Credentials |
iamcredentials.googleapis.com |
| Diretório de serviços |
servicedirectory.googleapis.com |
| Gestão de serviços |
servicemanagement.googleapis.com |
| Service Networking |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Conversão de voz em texto |
speech.googleapis.com |
| Estatísticas de armazenamento |
storageinsights.googleapis.com |
| Serviço de transferência de armazenamento |
storagebatchoperations.googleapis.com storagetransfer.googleapis.com |
| Talent Solution |
jobs.googleapis.com |
| Conversão de texto em voz |
texttospeech.googleapis.com |
| API Timeseries Insights |
timeseriesinsights.googleapis.com |
| API Transcoder |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| API Vertex AI |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI in Firebase |
firebasevertexai.googleapis.com |
| API Video Intelligence |
videointelligence.googleapis.com |
| API Video Search |
cloudvideosearch.googleapis.com |
| API Video Stitcher |
videostitcher.googleapis.com |
| Nuvem virtual privada (VPC) |
compute.googleapis.com |
| IA de visão |
visionai.googleapis.com |
| Visual Inspection AI |
visualinspection.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com workflowexecutions.googleapis.com |
| API Workload Certificate |
workloadcertificate.googleapis.com |
| Workload Manager |
workloadmanager.googleapis.com |
| reCAPTCHA Enterprise |
recaptchaenterprise.googleapis.com |
Serviços não suportados
A restrição da política da organização Restringir conjuntos de cifras TLS não é aplicável aos seguintes serviços:
- Apigee (
*.apigee.net,*.apigee.come*.apigee.io) - App Engine (
*.appspot.com) - Funções do Cloud Run (
*.cloudfunctions.net), - Cloud Run (
*.run.app) - Private Service Connect
- Domínios personalizados
Para restringir os conjuntos de cifras TLS para estes serviços, use o Cloud Load Balancing juntamente com a política de segurança SSL.
Google Cloud preferência de conjunto de cifras
Os pontos finais dos serviços suportados dão prioridade aos conjuntos de cifras pela seguinte ordem, do mais para o menos preferido:
- AES-256
- AES-128
- ChaCha20
Durante o handshake TLS, o servidor seleciona o conjunto de cifras mais preferencial que o cliente e o servidor suportam. Normalmente, este processo de seleção não requer alterações de configuração específicas do lado do cliente.
O handshake TLS ocorre antes da verificação da política Restrict TLS cipher suites e é separado da verificação da política. Como resultado, o conjunto de cifras negociado durante o handshake TLS também tem de ser permitido pela verificação da política Restrict TLS cipher suites. Caso contrário, a ligação é recusada. O proprietário da política é responsável por configurar Restringir conjuntos de cifras TLS e aplicações cliente para permitir o conjunto de cifras negociado.