SSL 政策會指定最低 TLS 版本和一組 TLS 功能,Cloud Load Balancing 會在與用戶端交涉 SSL 時使用這些功能。在本文件中,「SSL」一詞指的是 SSL 和 TLS 通訊協定。SSL
下列負載平衡器支援 SSL 政策:
- 全域 SSL 政策
- 全域外部應用程式負載平衡器
- 傳統版應用程式負載平衡器
- 外部 Proxy 網路負載平衡器 (搭配目標 SSL Proxy)
- 跨區域內部應用程式負載平衡器
- 區域性 SSL 政策
- 區域性外部應用程式負載平衡器
- 區域性內部應用程式負載平衡器
如要進一步瞭解 SSL 政策的運作方式,請參閱安全資料傳輸層 (SSL) 和傳輸層安全標準 (TLS) 通訊協定的 SSL 政策。
建立 HTTPS 或 SSL 負載平衡器時,或是在建立負載平衡器後,都可以使用 Google Cloud 控制台或 Google Cloud CLI 建立及管理 SSL 政策。
建立 SSL 政策
您可以使用預先定義的設定檔或自訂設定檔建立 SSL 政策。
使用預先定義的設定檔建立 SSL 政策
控制台
全域 SSL 政策
如要使用預先定義的設定檔建立全域 SSL 政策,請按照下列步驟操作:
前往 Google Cloud 控制台的「SSL policies」(SSL 政策) 頁面。
點選「建立政策」。
如要建立全域 SSL 政策,請點選旁邊的「建立」按鈕。「建立政策」頁面隨即顯示。
輸入名稱。
為「最低 TLS 版本」選取值。
將「Profile」(設定檔) 設為「Compatible」(相容)、「Modern」(新型)、「Restricted」(受限) 或「FIPS_202205」。
- 使用
FIPS_202205設定檔的 SSL 政策必須採用最低 TLS 版本 1.2。 - 如果將 SSL 政策的最低 TLS 版本設為 1.3,政策就必須使用
RESTRICTED設定檔。
系統會顯示該設定檔的「Enabled features」(已啟用的功能) 和「Disabled features」(已停用的功能)。
- 使用
如有想要附加政策的負載平衡器,請按一下「套用至目標」,然後選取一項轉送規則,做為 SSL 政策的目標。視需要新增更多目標。
點選「建立」。
區域性 SSL 政策
如要使用預先定義的設定檔建立區域性 SSL 政策,請按照下列步驟操作:
前往 Google Cloud 控制台的「SSL policies」(SSL 政策) 頁面。
點選「建立政策」。
如要建立區域性 SSL 政策,請點選旁邊的「建立」按鈕。「建立政策」頁面隨即顯示。
輸入名稱。
在「區域」中選取區域。
為「最低 TLS 版本」選取值。
將「Profile」(設定檔) 設為「Compatible」(相容)、「Modern」(新型)、「Restricted」(受限) 或「FIPS_202205」。
- 使用
FIPS_202205設定檔的 SSL 政策必須採用最低 TLS 版本 1.2。 - 如果將 SSL 政策的最低 TLS 版本設為 1.3,政策就必須使用
RESTRICTED設定檔。
系統會顯示該設定檔的「Enabled features」(已啟用的功能) 和「Disabled features」(已停用的功能)。
- 使用
如有想要附加政策的負載平衡器,請按一下「套用至目標」,然後選取一項轉送規則,做為 SSL 政策的目標。視需要新增更多目標。
點選「建立」。
gcloud
全域 SSL 政策
以下是使用預先定義設定檔建立全域 SSL 政策的一般語法。
- 使用
FIPS_202205設定檔的 SSL 政策必須採用最低 TLS 版本 1.2。 - 如果將 SSL 政策的最低 TLS 版本設為 1.3,政策就必須使用
RESTRICTED設定檔。
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3}
將 SSL_POLICY_NAME 替換為您指派給 SSL 政策的名稱。該政策會定義負載平衡器與用戶端交涉連線時使用的 TLS 功能。
下列指令會使用 MODERN 設定檔建立全域 SSL 政策:
gcloud compute ssl-policies create my-ssl-policy \
--profile MODERN \
--min-tls-version 1.0
區域性 SSL 政策
以下是使用預先定義的設定檔建立區域性 SSL 政策的一般語法。
- 使用
FIPS_202205設定檔的 SSL 政策必須採用最低 TLS 版本 1.2。 - 如果將 SSL 政策的最低 TLS 版本設為 1.3,政策就必須使用
RESTRICTED設定檔。
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
--region REGION
更改下列內容:
SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策會定義負載平衡器與用戶端交涉連線時使用的 TLS 功能REGION:SSL 政策的區域
下列指令會使用 COMPATIBLE 設定檔建立區域性 SSL 政策:
gcloud compute ssl-policies create my-ssl-policy \
--profile COMPATIBLE \
--min-tls-version 1.1 \
--region us-west1
使用自訂設定檔建立 SSL 政策
控制台
全域 SSL 政策
如要使用自訂設定檔建立全域 SSL 政策,請按照下列步驟操作:
前往 Google Cloud 控制台的「SSL policies」(SSL 政策) 頁面。
點選「建立政策」。
如要建立全域 SSL 政策,請點選旁邊的「建立」按鈕。「建立政策」頁面隨即顯示。
輸入名稱。
為「最低 TLS 版本」選取值。
在「設定檔」部分,選取「自訂」。 所有功能都會顯示為「Disabled features」(已停用的功能)。
在「Features」(功能) 清單中,選取想要啟用的加密套件。您啟用的加密套件會列入「Enabled features」(已啟用的功能)。
如有想要附加政策的負載平衡器,請按一下「套用至目標」,然後選取一項轉送規則,做為 SSL 政策的目標。視需要新增更多目標。
點選「建立」。
區域性 SSL 政策
如要使用自訂設定檔建立區域性 SSL 政策,請執行下列動作:
前往 Google Cloud 控制台的「SSL policies」(SSL 政策) 頁面。
點選「建立政策」。
如要建立區域性 SSL 政策,請點選旁邊的「建立」按鈕。「建立政策」頁面隨即顯示。
輸入名稱。
在「區域」中選取區域。
為「最低 TLS 版本」選取值。
在「設定檔」部分,選取「自訂」。 所有功能都會顯示為「Disabled features」(已停用的功能)。
在「Features」(功能) 清單中,選取想要啟用的加密套件。您啟用的加密套件會列入「Enabled features」(已啟用的功能)。
如有想要附加政策的負載平衡器,請按一下「套用至目標」,然後選取一項轉送規則,做為 SSL 政策的目標。視需要新增更多目標。
點選「建立」。
gcloud
當您使用 CUSTOM 設定檔建立 SSL 政策時,僅會支援在 create 指令中指定的功能,不支援其他功能。
全域 SSL 政策
以下是使用自訂設定檔建立全域 SSL 政策的一般語法:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version {1.0 | 1.1 | 1.2} \
--custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3]
更改下列內容:
SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能SSL_FEATURE_1 | 2 | 3:要套用的自訂功能
以下範例會建立全域 SSL 政策,使用 CUSTOM 設定檔,採用的最低 TLS 版本為 1.2 版,且具備 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 與 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256。
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version 1.2 \
--custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
區域性 SSL 政策
以下是使用自訂設定檔建立區域性 SSL 政策的一般語法:
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version {1.0 | 1.1 | 1.2} \
--custom-features SSL_FEATURE_1[,SSL_FEATURE_2,SSL_FEATURE_3] \
--region REGION
更改下列內容:
SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能SSL_FEATURE_1 | 2 | 3:要套用的自訂功能REGION:要套用 SSL 政策的區域
以下範例會建立區域性 SSL 政策,使用 CUSTOM 設定檔,採用的最低 TLS 版本為 1.2 版,且具備 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 與 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256。
gcloud compute ssl-policies create SSL_POLICY_NAME \
--profile CUSTOM \
--min-tls-version 1.2 \
--custom-features TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 \
--region us-west1
列出 SSL 政策
控制台
前往 Google Cloud 控制台的「SSL policies」(SSL 政策) 頁面。
您可以查看所有可用的 SSL 政策清單。「範圍」欄位會指出 SSL 政策是全域或區域性。
gcloud
列出全域和區域性 SSL 政策:
gcloud compute ssl-policies list
只列出全域 SSL 政策:
gcloud compute ssl-policies list --global
只列出區域性 SSL 政策:
gcloud compute ssl-policies list --regions REGION
將 REGION 替換為要套用 SSL 政策的區域。
列出 SSL 政策中的可用功能
控制台
前往 Google Cloud 控制台的「SSL policies」(SSL 政策) 頁面。
按一下您想要查看功能的政策名稱。 系統會列出已啟用和已停用的加密套件。
gcloud
列出全域 SSL 政策中可用的功能:
gcloud compute ssl-policies list-available-features
列出區域性 SSL 政策可用的功能:
gcloud compute ssl-policies list-available-features \
--region REGION
將 REGION 替換為要列出功能的 SSL 政策所屬區域。
修改 SSL 政策
控制台
如要修改 全域或 區域性 SSL 政策,請按照下列步驟操作:
前往 Google Cloud 控制台的「SSL policies」(SSL 政策) 頁面。
按一下要修改的政策名稱。
按一下 [編輯]。
視需要加以變更。
按一下 [儲存]。
gcloud
如果要修改現有的 SSL 政策,請傳遞對應到欲更新欄位的任何旗標 (或全部的旗標)。不會更新未指定的欄位。
若您更新功能,會刪除先前已啟用的功能,取代為您指定的新功能。
全域 SSL 政策
- 使用
FIPS_202205設定檔的 SSL 政策必須採用最低 TLS 版本 1.2。 - 如果將 SSL 政策的最低 TLS 版本設為 1.3,政策就必須使用
RESTRICTED設定檔。
gcloud compute ssl-policies update SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
--custom-features FEATURES
更改下列內容:
SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能FEATURES:要套用至 SSL 政策的功能
區域性 SSL 政策
- 使用
FIPS_202205設定檔的 SSL 政策必須採用最低 TLS 版本 1.2。 - 如果將 SSL 政策的最低 TLS 版本設為 1.3,政策就必須使用
RESTRICTED設定檔。
gcloud compute ssl-policies update SSL_POLICY_NAME \
--profile {COMPATIBLE | MODERN | RESTRICTED | CUSTOM | FIPS_202205} \
--min-tls-version {1.0 | 1.1 | 1.2 | 1.3} \
[--custom-features FEATURES \]
--region REGION
更改下列內容:
SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能FEATURES:要套用至 SSL 政策的功能REGION:要更新功能的 SSL 政策區域
使用 SSL 政策建立目標 Proxy
控制台
建立或更新負載平衡器時,可以使用 Google Cloud 控制台建立目標 Proxy,如下列文件所示:
gcloud
如要使用全域 SSL 政策建立目標 SSL Proxy,請按照下列步驟操作:
gcloud compute target-ssl-proxies create TARGET_SSL_PROXY_NAME \
--backend-service BACKEND_SERVICE_NAME \
--ssl-certificate SSL_CERTIFICATE_NAME \
--ssl-policy SSL_POLICY_NAME
更改下列內容:
TARGET_SSL_PROXY_NAME:目標 Proxy 的名稱BACKEND_SERVICE_NAME:後端服務名稱SSL_CERTIFICATE_NAME:傳輸層安全標準 (TLS) 憑證的名稱SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能
如要使用全域 SSL 政策建立全域目標 HTTPS Proxy,請按照下列步驟操作:
gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
--ssl-certificate SSL_CERTIFICATE_NAME \
--url-map URL_MAP_NAME \
--ssl-policy SSL_POLICY_NAME
更改下列內容:
TARGET_HTTPS_PROXY_NAME:目標 Proxy 的名稱SSL_CERTIFICATE_NAME:傳輸層安全標準 (TLS) 憑證的名稱URL_MAP_NAME:網址對應的名稱SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能
如要使用區域性 SSL 政策建立區域性目標 HTTPS Proxy,請按照下列步驟操作:
gcloud compute target-https-proxies create REGIONAL_TARGET_HTTPS_PROXY_NAME \
--ssl-certificates SSL_CERTIFICATE_NAME \
--url-map URL_MAP_NAME \
--url-map-region MAP_REGION \
--ssl-policy SSL_POLICY_NAME \
--region REGION
更改下列內容:
REGIONAL_TARGET_HTTPS_PROXY_NAME:目標 Proxy 的名稱SSL_CERTIFICATE_NAME:傳輸層安全標準 (TLS) 憑證的名稱URL_MAP_NAME:網址對應的名稱MAP_REGION:網址對應表所在的 Google Cloud區域名稱SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能REGION:要用來建立目標 HTTPS Proxy 的 SSL 政策區域
將現有的 SSL 政策附加至現有的目標 Proxy
控制台
您無法在 Google Cloud 控制台中修改目標 Proxy。請改用 gcloud CLI 或 API。
gcloud
使用下列指令將現有的 SSL 政策附加至 SSL Proxy 或 HTTPS Proxy。
如要找出貴機構中所有含有目標 SSL Proxy 的專案,請按照下列步驟操作:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetSslProxy將
ORGANIZATION_ID替換為要尋找目標 SSL Proxy 的機構 ID。
如要找出貴機構中具有目標 HTTPS Proxy 的所有專案,請執行下列操作:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/TargetHttpsProxy將
ORGANIZATION_ID替換為要尋找目標 HTTPS Proxy 的機構 ID。
如要列出專案中的所有全域目標 SSL Proxy,請使用
targetSslProxies.aggregatedList方法。接著,使用filter查詢參數,搜尋未參照 SSL 政策的目標 SSL Proxy。curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed更改下列內容:
PROJECT_ID:專案 ID 的名稱YOUR_API_KEY:您的 API 金鑰YOUR_ACCESS_TOKEN:存取權杖
如要列出專案中的所有 全域和 區域目標 HTTPS Proxy,請使用
targetHttpsProxies.aggregatedList方法,並將includeAllScopes查詢參數設為true。接著,使用filter查詢參數,搜尋未參照 SSL 政策的目標 HTTPS Proxy。curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/targetHttpsProxies?filter=sslPolicy%3D%22%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed更改下列內容:
PROJECT_ID:專案 ID 的名稱YOUR_API_KEY:您的 API 金鑰YOUR_ACCESS_TOKEN:存取權杖
如要將現有的全域 SSL 政策附加至目標 SSL Proxy,請執行下列操作:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME更改下列內容:
TARGET_SSL_PROXY_NAME:目標 Proxy 的名稱SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策會定義負載平衡器與用戶端交涉連線時使用的 TLS 功能
如要將現有的全域 SSL 政策附加至全域目標 HTTPS Proxy,請執行下列步驟:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME更改下列內容:
TARGET_HTTPS_PROXY_NAME:目標 Proxy 的名稱SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策會定義負載平衡器與用戶端交涉連線時使用的 TLS 功能
如要將現有的區域性 SSL 政策附加至區域性目標 HTTPS Proxy,請按照下列步驟操作:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \ --ssl-policy SSL_POLICY_NAME \ --region REGION更改下列內容:
REGIONAL_TARGET_HTTPS_PROXY_NAME:目標 Proxy 的名稱SSL_POLICY_NAME:您指派給 SSL 政策的名稱,該政策會定義負載平衡器與用戶端交涉連線時使用的 TLS 功能REGION:要附加至區域目標 HTTPS Proxy 的 SSL 政策區域
如果您未在目標 Proxy 更新時 (例如:更新 SSL 憑證時) 提供 --ssl-policy 旗標或 --clear-ssl-policy 旗標,SSL 政策就會維持不變。如需 --clear-ssl-policy 旗標的說明,請參閱「從目標 Proxy 刪除 SSL 政策」。
API
如要為全域目標 Proxy 設定全域 SSL 政策,請使用 targetHttpsProxies.patch 方法。
如要為區域目標 Proxy 設定區域性 SSL 政策,請使用 regionTargetHttpsProxies.patch 方法。
從目標 Proxy 刪除 SSL 政策
控制台
您無法在 Google Cloud 控制台中修改目標 Proxy。請改用 gcloud CLI 或 API。
gcloud
使用下列指令,從 SSL Proxy 或 HTTPS Proxy 移除 SSL 政策。如果未將其他 SSL 政策附加到目標 Proxy,負載平衡器會使用預設的 SSL 政策。使用 --clear-ssl-policy 旗標,就等同於使用預設的 SSL 政策取代現有的 SSL 政策。
如要從目標 SSL Proxy 移除全域 SSL 政策,請執行下列步驟:
gcloud compute target-ssl-proxies update TARGET_SSL_PROXY_NAME \
--clear-ssl-policy
將 TARGET_SSL_PROXY_NAME 替換為目標 Proxy 的名稱。
如要從全域目標 HTTPS Proxy 移除全域 SSL 政策,請執行下列操作:
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY_NAME \
--clear-ssl-policy
將 TARGET_HTTPS_PROXY_NAME 替換為目標 Proxy 的名稱。
如要從地區目標 HTTPS Proxy 移除地區 SSL 政策,請執行下列步驟:
gcloud compute target-https-proxies update REGIONAL_TARGET_HTTPS_PROXY_NAME \
--clear-ssl-policy \
--region REGION
更改下列內容:
REGIONAL_TARGET_HTTPS_PROXY_NAME:目標 Proxy 的名稱REGION:要附加至區域目標 HTTPS Proxy 的 SSL 政策區域
在更新指令中提供 --clear-ssl-policy 旗標時,會從 Proxy 移除 SSL 政策。
如果未在目標 Proxy 更新時 (例如:更新 SSL 憑證時) 提供 --clear-ssl-policy 旗標或 --ssl-policy 旗標,SSL 政策就會維持不變。可在「將現有的 SSL 政策附加至現有的目標 Proxy」一節中,找到 --ssl-policy 旗標的說明。
管理 SSL 政策
如果您使用自訂限制來限制 TLS 功能,請手動檢查附加至目標 SSL Proxy 和目標 HTTPS Proxy 的現有 SSL 政策是否符合 TLS 規定。
請按照下列範例步驟,找出並更新不符合安全目標的 SSL 政策。
如要找出機構中所有含有 SSL 政策資源的專案,請按照下列步驟操作:
gcloud asset search-all-resources \ --scope=organizations/ORGANIZATION_ID \ --asset-types=compute.googleapis.com/SslPolicy將
ORGANIZATION_ID替換為要尋找所有含有 SSL 政策資源的專案所屬機構的 ID。如要列出專案中的所有 全域和 區域 SSL 政策,請使用
sslPolicies.aggregatedList方法,並將includeAllScopes查詢參數設為true。接著,使用filter查詢參數,搜尋不符合安全目標的 SSL 政策。舉例來說,如要找出 TLS 版本低於
1.2的 SSL 政策,請使用篩選器minTlsVersion="TLS_1_0"或minTlsVersion="TLS_1_1":curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/sslPolicies?filter=minTlsVersion%3D%22TLS_1_0%22%20OR%20minTlsVersion%3D%22TLS_1_1%22&includeAllScopes=true&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed
更改下列內容:
PROJECT_ID:專案 ID 的名稱YOUR_API_KEY:您的 API 金鑰YOUR_ACCESS_TOKEN:存取權杖
如要取得 API 金鑰,請參閱「管理 API 金鑰」。如要取得存取權杖,請使用
projects.serviceAccounts.generateAccessToken方法。然後更新不符合最低 TLS 要求的 SSL 政策。
如要更新全域 SSL 政策,可以使用下列指令:
gcloud compute ssl-policies update SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --global將
SSL_POLICY_NAME替換為您指派給 SSL 政策的名稱。該政策定義負載平衡器與用戶端交涉連線時使用的 TLS 功能。如要更新區域 SSL 政策,請使用下列指令:
gcloud compute ssl-policies update SSL_POLICY_NAME \ --min-tls-version=TLS_1_2 \ --region REGION更改下列內容:
SSL_POLICY_NAME:SSL 政策的名稱REGION:SSL 政策的區域
如要列出專案中所有未與 SSL 政策建立關聯的目標 SSL Proxy,請執行下列指令:
curl \ 'https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxies?filter=sslPolicy%3D%22%22&key=YOUR_API_KEY' \ --header 'Authorization: Bearer YOUR_ACCESS_TOKEN' \ --header 'Accept: application/json' \ --compressed更改下列內容:
PROJECT_ID:專案 ID 的名稱YOUR_API_KEY:您的 API 金鑰YOUR_ACCESS_TOKEN:存取權杖
如要將 SSL 政策附加至這些目標 Proxy,請參閱將現有的 SSL 政策附加至現有的目標 Proxy。
您也可以使用 Cloud Asset Inventory 或 Google APIs Explorer,找出並更新不符合安全需求的資源。
舉例來說,如要查詢未與 SSL 政策建立關聯的目標 SSL Proxy 清單,您可以在 Cloud Asset Inventory 中執行下列步驟:
前往 Google Cloud 控制台的「資產清單」頁面。
按一下「資產查詢」。
在「Edit query」(編輯查詢) 欄位中輸入以下查詢,然後點選「Run」(執行)。
select * from `compute_googleapis_com_TargetSslProxy` where resource.data.sslPolicy IS NULL
如要將 SSL 政策附加至這些目標 Proxy,請參閱將現有的 SSL 政策附加至現有的目標 Proxy。
在 Cloud Asset Inventory 中執行查詢,直到看到空白的回應為止。
限制
請參閱「目標 Proxy」。
API 參考資料
如需透過 REST API 使用 SSL 政策時可用的屬性和方法說明,請參閱下列內容:
| 產品 | API 說明文件 |
|---|---|
|
sslPolicies |
|
regionSslPolicies |
gcloud CLI 參考資料
如需 Google Cloud CLI 參考資料,請參閱下列內容:
-
- 全域:
--global
- 地區性:
--region=REGION
- 全域:
後續步驟
- 如需 SSL 政策的概念資訊,請參閱安全資料傳輸層 (SSL) 和傳輸層安全標準 (TLS) 通訊協定的 SSL 政策。
- 如要瞭解外部 Proxy 網路負載平衡器,請參閱「外部 Proxy 網路負載平衡器總覽」。
- 如要瞭解外部應用程式負載平衡器,請參閱「外部應用程式負載平衡器總覽」。