Google Cloud oferece suporte a vários pacotes de criptografia TLS. Para atender aos requisitos de segurança ou conformidade, talvez você queira negar solicitações de clientes que usam pacotes de criptografia TLS menos seguros.
A restrição de política da organização gcp.restrictTLSCipherSuites
oferece essa capacidade.
Antes de começar
Para receber as permissões necessárias para definir, alterar ou excluir políticas da organização, peça ao administrador para conceder a você opapel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.
Como definir a política da organização
A restrição de política da organização gcp.restrictTLSCipherSuites pode ser aplicada a instâncias do Looker (Google Cloud Core) que usam uma configuração de rede IP pública.
É possível aplicar a restrição antes ou depois de criar a instância.
Siga as instruções na página de documentação Restringir pacotes de criptografia TLS para definir a política da organização. O Looker (Google Cloud Core) está em conformidade com o perfil de política de SSL MODERNO gerenciado pelo Google e oferece suporte aos pacotes de criptografia que estão nesse perfil.
Se você definir ou alterar a política da organização depois que a instância do Looker (Google Cloud Core) for criada, será necessário realizar uma das seguintes ações para aplicar a atualização da política da organização à instância do Looker (Google Cloud Core):
- Reinicie a instância.
- Edite uma configuração do Looker (Google Cloud Core) no Google Cloud console ou na
gcloudCLI.
Violações da política
Se você definir a restrição da política da organização para não permitir pacotes de criptografia MODERN com suporte do Looker (Google Cloud Core), não será possível criar, atualizar ou reiniciar a instância do Looker (Google Cloud Core) e você receberá o seguinte erro:
com.google.apps.framework.request.FailedPreconditionException: Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource `resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION
Essa saída inclui o valor PROJECT_ID, que é o ID do projeto que hospeda a instância do Looker (Google Cloud Core).
Para resolver a violação, atualize a política da organização gcp.restrictTLSCipherSuites para permitir pelo menos um pacote de criptografia com suporte.