Google Cloud est compatible avec plusieurs suites de chiffrement TLS. Pour répondre à des exigences de sécurité ou de conformité, vous pouvez refuser les requêtes des clients qui utilisent des suites de chiffrement TLS moins sécurisées.
La contrainte de règle d'administration gcp.restrictTLSCipherSuites
offre cette possibilité.
Avant de commencer
Pour obtenir les autorisations nécessaires pour définir, modifier ou supprimer des règles d'administration,
demandez à votre administrateur de vous accorder le rôle IAM
Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Définir la règle d'administration
La contrainte de règle d'administration gcp.restrictTLSCipherSuites peut être appliquée aux instances Looker (Google Cloud Core) qui utilisent une configuration réseau avec adresse IP publique.
Vous pouvez appliquer la contrainte avant ou après avoir créé l'instance.
Suivez les instructions de la page de documentation Limiter les suites de chiffrement TLS pour définir la règle d'administration. Looker (Google Cloud Core) est conforme au profil de règles SSL MODERNE géré par Google et est compatible avec les suites de chiffrement de ce profil.
Si vous définissez ou modifiez la règle d'administration après la création de l'instance Looker (Google Cloud Core), vous devez effectuer l'une des actions suivantes pour appliquer la mise à jour de la règle d'administration à l'instance Looker (Google Cloud Core) :
- Redémarrez l'instance.
- Modifiez un paramètre Looker (Google Cloud Core) dans la Google Cloud console ou via l'CLI
gcloud.
Non-respect des règles
Si vous définissez la contrainte de règle d'administration de sorte qu'aucune suite de chiffrement MODERNE compatible avec Looker (Google Cloud Core) ne soit autorisée, vous ne pourrez pas créer, mettre à jour ni redémarrer l'instance Looker (Google Cloud Core) et le message d'erreur suivant s'affichera :
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Ce résultat inclut la valeur PROJECT_ID, qui correspond à l'ID du projet hébergeant l'instance Looker (Google Cloud Core).
Pour résoudre le non-respect des règles, mettez à jour la règle d'administration gcp.restrictTLSCipherSuites afin d'autoriser au moins une suite de chiffrement compatible.