Restrinja os conjuntos de cifras TLS
Esta página descreve como pode impedir o acesso a Google Cloud recursos recusando pedidos feitos através de determinados conjuntos de cifras Transport Layer Security (TLS) menos seguros.
Vista geral
Google Cloud Suporta vários conjuntos de cifras TLS. Para cumprir os requisitos de segurança ou conformidade, pode querer recusar pedidos de clientes que usam conjuntos de cifras TLS menos seguros.
Esta capacidade é fornecida pela gcp.restrictTLSCipherSuites
restrição da política da organização.
A restrição pode ser aplicada a organizações, pastas ou projetos na hierarquia de recursos.
Pode usar a restrição gcp.restrictTLSCipherSuites como uma lista de permissões ou uma lista de exclusões:
- Lista de autorizações: permite um conjunto específico de conjuntos de cifras. Todos os outros são recusados.
- Lista de recusa: Recusa um conjunto específico de conjuntos de cifras. Todos os outros são permitidos.
Devido ao comportamento da avaliação da hierarquia de políticas da organização, a restrição Restrict TLS cipher suites aplica-se ao nó de recurso especificado e a todos os respetivos filhos. Por exemplo, se permitir apenas determinados conjuntos de cifras TLS para uma organização, isso também se aplica a todas as pastas e projetos (entidades secundárias) que descendem dessa organização.
Antes de começar
Para obter as autorizações de que
precisa para definir, alterar ou eliminar políticas de organização,
peça ao seu administrador para lhe conceder a
função do IAM Administrador de políticas de organização (roles/orgpolicy.policyAdmin)
na organização.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Definir a política da organização
A restrição Restrict TLS cipher suites é um tipo de restrição de lista. Pode adicionar e remover conjuntos de cifras das listas allowed_values ou denied_values de uma restrição de conjuntos de cifras TLS restritos. Para evitar que as políticas da organização sejam demasiado restritivas e simplificar a gestão de políticas, use grupos de valores. Os grupos de valores são conjuntos de cifras TLS recomendados e selecionados pela Google.
Consola
Abra a página Políticas de organização na Google Cloud consola.
Selecione o selecionador de projetos na parte superior da página.
No seletor de projetos, selecione o recurso para o qual quer definir a política da organização.
Selecione a restrição Restringir conjuntos de cifras TLS na lista da página Políticas da organização.
Para atualizar a política da organização para este recurso, clique em Gerir política.
Na página Editar, selecione Personalizar.
Em Aplicação de políticas, selecione uma opção de aplicação:
Para unir e avaliar as políticas da sua organização em conjunto, selecione Unir com principal. Para mais informações sobre a herança e a hierarquia de recursos, consulte o artigo Compreender a avaliação da hierarquia.
Para substituir as políticas herdadas de um recurso principal, selecione Substituir.
Clique em Adicionar regra.
Em Valores da política, selecione Personalizado.
Em Tipo de política, selecione Permitir para criar uma lista de conjuntos de cifras permitidos ou selecione Recusar para criar uma lista de conjuntos de cifras recusados.
Em Valores personalizados, introduza o prefixo
in:e uma string de grupo de valores e, de seguida, prima Enter.Por exemplo,
in:NIST-800-52-recommended-ciphers. Pode introduzir várias strings de grupos de valores clicando em Adicionar valor.Também pode introduzir strings de conjuntos de cifras específicos através do prefixo
is:. Para ver uma lista de valores suportados, consulte as suites de cifragem suportadas.
Para aplicar a política, clique em Definir política.
gcloud
Para criar uma política da organização que aplique a restrição Restrict TLS Cipher Suites, crie um ficheiro YAML de política que faça referência à restrição:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Para aplicar a política da organização que contém a restrição, execute o seguinte comando:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Substitua o seguinte:
RESOURCE_TYPEcomorganization,folderouproject.RESOURCE_IDcom o ID da organização, o ID da pasta, o ID do projeto ou o número do projeto.POLICY_PATHcom o caminho completo para o ficheiro YAML que contém a política da organização.
É devolvida uma resposta com os resultados da nova política de organização:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Grupos de valores
Os grupos de valores são coleções de conjuntos de cifras selecionados pela Google para oferecer uma forma mais simples de definir conjuntos de cifras TLS preferenciais ou recomendados. Os grupos de valores incluem vários conjuntos de cifras e são expandidos ao longo do tempo pela Google. Não precisa de alterar a política da sua organização para acomodar os novos conjuntos de cifras.
Para usar grupos de valores na sua política da organização, prefixe as entradas com a string in:. Para mais informações sobre a utilização de prefixos de valores, consulte o artigo
Usar restrições.
Os nomes dos grupos de valores são validados na chamada para definir a política da organização.
A utilização de um nome de grupo inválido faz com que a definição da política falhe.
A tabela seguinte contém a lista atual de grupos disponíveis:
| Grupo | Detalhes | Membros diretos |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Cifras recomendadas pela CNSA 2.0 suportadas pelo Google Cloud:in:CNSA-2.0-recommended-ciphers |
Valores:
|
| NIST-800-52-recommended-ciphers | Cifras recomendadas pela NIST SP 800-52 suportadas pelo Google Cloud:in:NIST-800-52-recommended-ciphers |
Valores:
|
Conjuntos de cifras suportados
Esta é a lista de conjuntos de cifras suportados pelo Google Cloud.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Mensagem de erro
Os serviços que suportam a restrição de conjuntos de cifras TLS recusam pedidos que violem a restrição.
Exemplo de mensagem de erro
A mensagem de erro tem um formato semelhante ao seguinte exemplo:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
Esta saída inclui os seguintes valores:
PROJECT_NUMBER: o número do projeto que aloja o recurso referido no comando anterior.SERVICE_NAME: o nome do serviço no âmbito bloqueado pela política Restringir conjuntos de cifras TLS.TLS_Cipher_Suite_X: o conjunto de cifras TLS usado no pedido.
Exemplo de registo de auditoria do Cloud
Também é gerada uma entrada no registo de auditoria para monitorização, alertas ou depuração adicionais. A entrada do registo de auditoria é semelhante ao exemplo seguinte:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Teste a política
Pode testar a restrição da política de cifras TLS para qualquer serviço no âmbito. O exemplo seguinte do comando curlvalida
as restrições dos conjuntos de cifras TLS para um conjunto de chaves do Cloud Key Management Service.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Substitua as seguintes variáveis:
TLS_CIPHER_SUITE: o nome do conjunto de cifras TLS na convenção de nomenclatura do OpenSSL, por exemplo,ECDHE-ECDSA-AES128-SHA, que é o nome do OpenSSL paraTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: nome do projeto que contém o conjunto de chaves
O exemplo de pedido curl seguinte mostra PROJECT_ID definido como
my-project-id e TLS_CIPHER_SUITE definido como ECDHE-ECDSA-AES128-SHA:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Se a política de organização para "my-project-id" estiver configurada para recusar
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA , qualquer tentativa de aceder a recursos
com a cifra no projeto restrito por políticas neste exemplo de comando falha.
É devolvida uma mensagem de erro semelhante ao exemplo seguinte que descreve o motivo desta falha.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Crie uma política da organização no modo de execução de ensaio
Uma política da organização no modo de execução de ensaio é um tipo de política da organização em que as violações da política são registadas em auditoria, mas as ações que violam a política não são negadas. Pode criar uma política organizacional no modo de teste usando a restrição do conjunto de cifras TLS para monitorizar como afetaria a sua organização antes de aplicar a política ativa. Para mais informações, consulte o artigo Crie uma política de organização no modo de teste.
Serviços suportados
Os seguintes serviços suportam a restrição de conjuntos de cifras TLS. A restrição aplica-se a todas as variações do ponto final da API, incluindo pontos finais globais, de localização e regionais. Consulte a página Tipos de pontos finais da API para mais informações.
| Produto | Ponto final da API |
|---|---|
| API Gateway |
apigateway.googleapis.com |
| Chaves da API |
apikeys.googleapis.com |
| Gestor de acesso sensível ao contexto |
accesscontextmanager.googleapis.com |
| Apigee |
apigee.googleapis.com |
| Apigee API Hub |
apihub.googleapis.com |
| API Apigee API Management |
apim.googleapis.com |
| API Apigee Connect |
apigeeconnect.googleapis.com |
| API do portal do Apigee |
apigeeportal.googleapis.com |
| API Apigee Registry |
apigeeregistry.googleapis.com |
| API App Config Manager |
appconfigmanager.googleapis.com |
| App Hub |
apphub.googleapis.com |
| Centro de design de aplicações |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Assured Open Source Software |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Gestor de auditorias |
auditmanager.googleapis.com |
| API Authorization Toolkit |
authztoolkit.googleapis.com |
| Serviço de cópias de segurança e RD |
backupdr.googleapis.com |
| Cópia de segurança do GKE |
gkebackup.googleapis.com |
| Lote |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| Ligações do BigQuery |
bigqueryconnection.googleapis.com |
| Política de dados do BigQuery |
bigquerydatapolicy.googleapis.com |
| Transferência de dados do BigQuery |
bigquerydatatransfer.googleapis.com |
| Migração do BigQuery |
bigquerymigration.googleapis.com |
| Reserva do BigQuery |
bigqueryreservation.googleapis.com |
| API BigQuery Saved Query |
bigquery-sq.googleapis.com |
| BigQuery Storage |
bigquerystorage.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Autorização binária |
binaryauthorization.googleapis.com |
| Blockchain Analytics |
blockchain.googleapis.com |
| Blockchain Node Engine |
blockchainnodeengine.googleapis.com |
| Blockchain Validator Manager |
blockchainvalidatormanager.googleapis.com |
| Capacity Planner |
capacityplanner.googleapis.com |
| Certificate Authority Service |
privateca.googleapis.com |
| Gestor de certificados |
certificatemanager.googleapis.com |
| Cloud Asset Inventory |
cloudasset.googleapis.com |
| Cloud Billing |
cloudbilling.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| API Cloud Commerce Producer |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| Cloud Controls Partner API |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| API Cloud Healthcare |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Sistema de deteção de intrusões do Cloud |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| NAT na nuvem |
compute.googleapis.com |
| API Cloud Natural Language |
language.googleapis.com |
| Cloud Next Generation Firewall Essentials |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud OS Login API |
oslogin.googleapis.com |
| Cloud Quotas |
cloudquotas.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com |
| Cloud Scheduler |
cloudscheduler.googleapis.com |
| Cloud SQL |
sqladmin.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com networksecurity.googleapis.com |
| Cloud Support API |
cloudsupport.googleapis.com |
| API Cloud Tool Results |
toolresults.googleapis.com |
| Cloud TPU |
tpu.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| API Commerce Agreement Publishing |
commerceagreementpublishing.googleapis.com |
| API Commerce Business Enablement |
commercebusinessenablement.googleapis.com |
| API Commerce Price Management |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Computação confidencial |
confidentialcomputing.googleapis.com |
| Ligar |
gkeconnect.googleapis.com |
| Ligue o gateway |
connectgateway.googleapis.com |
| Contact Center AI Platform API |
contactcenteraiplatform.googleapis.com |
| Deteção de ameaças de contentores |
containerthreatdetection.googleapis.com |
| API Content Warehouse |
contentwarehouse.googleapis.com |
| API Continuous Validation |
continuousvalidation.googleapis.com |
| API Data Labeling |
datalabeling.googleapis.com |
| API Data Security Posture Management |
dspm.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataform |
dataform.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc |
dataproc.googleapis.com |
| Dataproc na GDC |
dataprocgdc.googleapis.com |
| Datastream |
datastream.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| Distributed Cloud Edge Container API |
edgecontainer.googleapis.com |
| Distributed Cloud Edge Network API |
edgenetwork.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Contactos essenciais |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com |
| Filestore |
file.googleapis.com |
| API Financial Services |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Regras de segurança do Firebase |
firebaserules.googleapis.com |
| Firestore |
firestore.googleapis.com |
| Firestore no modo Datastore (Datastore) |
datastore.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| GKE Enterprise Edge API |
anthosedge.googleapis.com |
| Hub (Fleet) |
gkehub.googleapis.com |
| GKE Multi-cloud |
gkemulticloud.googleapis.com |
| API GKE On-Prem |
gkeonprem.googleapis.com |
| API Gemini para o Google Cloud |
cloudaicompanion.googleapis.com |
| Google Cloud API |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Google Cloud Migration Center |
migrationcenter.googleapis.com |
| Observabilidade do Google Cloud |
stackdriver.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com configdelivery.googleapis.com |
| SIEM do Google Security Operations |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| API Google Security Operations Partner |
chroniclepartner.googleapis.com |
| Suplementos do Google Workspace |
gsuiteaddons.googleapis.com |
| Gestão de identidade e de acesso |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Stream envolvente |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Integration Connectors |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| API Live Stream |
livestream.googleapis.com |
| AlloyDB para PostgreSQL |
alloydb.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| BigQuery Engine para Apache Flink |
managedflink.googleapis.com |
| API Kafka gerida |
managedkafka.googleapis.com |
| Gestão de serviços |
servicemanagement.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore for Memcached |
memcache.googleapis.com |
| Memorystore for Redis |
redis.googleapis.com |
| Memorystore for Valkey |
memorystore.googleapis.com |
| API Message Streams |
messagestreams.googleapis.com |
| Microservices API |
microservices.googleapis.com |
| Migre para máquinas virtuais |
vmmigration.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Níveis de serviço de rede |
compute.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Oracle Database@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Analisador de políticas |
policyanalyzer.googleapis.com |
| Resolução de problemas de políticas |
policytroubleshooter.googleapis.com |
| Implementação progressiva |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Recomendador |
recommender.googleapis.com |
| Execução de compilação remota |
remotebuildexecution.googleapis.com |
| API Retail |
retail.googleapis.com |
| Cyber Insurance Hub |
riskmanager.googleapis.com |
| API SaaS Service Management |
saasservicemgmt.googleapis.com |
| SecLM API |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| API Service Account Credentials |
iamcredentials.googleapis.com |
| Diretório de serviços |
servicedirectory.googleapis.com |
| Service Networking |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Cloud Storage |
storage.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Conversão de voz em texto |
speech.googleapis.com |
| Estatísticas de armazenamento |
storageinsights.googleapis.com |
| Serviço de transferência de armazenamento |
storagebatchoperations.googleapis.com storagetransfer.googleapis.com |
| Conversão de texto em voz |
texttospeech.googleapis.com |
| API Timeseries Insights |
timeseriesinsights.googleapis.com |
| API Transcoder |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| API Vertex AI |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI in Firebase |
firebasevertexai.googleapis.com |
| Nuvem virtual privada (VPC) |
compute.googleapis.com |
| API Video Search |
cloudvideosearch.googleapis.com |
| API Video Stitcher |
videostitcher.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Workflows |
workflows.googleapis.com |
| API Workload Certificate |
workloadcertificate.googleapis.com |
| Workload Manager |
workloadmanager.googleapis.com |
Serviços não suportados
A restrição da política da organização Restringir conjuntos de cifras TLS não é aplicável aos seguintes serviços:
- Apigee (
*.apigee.net,*.apigee.come*.apigee.io) - App Engine (
*.appspot.com) - Funções do Cloud Run (
*.cloudfunctions.net), - Cloud Run (
*.run.app) - Private Service Connect
- Domínios personalizados
Para restringir os conjuntos de cifras TLS para estes serviços, use o Cloud Load Balancing juntamente com a política de segurança SSL.
Google Cloud preferência de conjunto de cifras
Os pontos finais dos serviços suportados dão prioridade ao AES-256 em relação ao AES-128 e ao ChaCha20. Os clientes que suportam o AES-256 devem negociá-lo com êxito sem necessitar de alterações na configuração.