Google Cloud は複数の TLS 暗号スイートをサポートしています。セキュリティ要件またはコンプライアンス要件を満たすため、安全性の低い TLS 暗号スイートを使用するクライアントからのリクエストを拒否することが必要になる場合があります。
この機能は、gcp.restrictTLSCipherSuites
組織のポリシーの制約によって提供されています。
始める前に
組織のポリシーを設定、変更、削除するために必要な権限を取得するには、組織に対する組織のポリシー管理者 (roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタム ロールや他の事前定義 ロールから取得することもできます。
組織ポリシーの設定
gcp.restrictTLSCipherSuites 組織のポリシーの制約は、パブリック IP ネットワーク構成を使用する Looker(Google Cloud コア)インスタンスに適用できます。
制約は、インスタンスの作成前または作成後に適用できます。
組織のポリシーを設定するには、TLS 暗号スイートを制限するのドキュメント ページの手順に沿って操作します。Looker(Google Cloud コア)は、Google マネージドの MODERN SSL ポリシー プロファイルに準拠しており、そのプロファイルに含まれる暗号スイートをサポートしています。
Looker(Google Cloud コア)インスタンスの作成後に組織のポリシーを設定または変更した場合は、組織のポリシーの更新を Looker(Google Cloud コア)インスタンスに適用するために、次のいずれかのアクションを行う必要があります。
- インスタンスを再起動します。
- 編集 コンソール内または
gcloudCLI を使用して、Looker(Google Cloud コア)の設定を編集します。 Google Cloud
ポリシー違反
組織のポリシーの制約を、Looker(Google Cloud コア)でサポートされている MODERN 暗号スイートを許可しないように設定すると、Looker(Google Cloud コア)インスタンスを作成、更新、再起動できなくなり、次のエラーが表示されます。
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
この出力には、Looker(Google Cloud コア)インスタンスをホストしているプロジェクトの ID である PROJECT_ID 値が含まれます。
違反に対処するには、サポートされている暗号スイートを 1 つ以上許可するように gcp.restrictTLSCipherSuites 組織のポリシーを更新します。