Restringir los conjuntos de cifrado TLS
En esta página se describe cómo puedes impedir el acceso a los recursos Google Cloud denegando las solicitudes realizadas con determinados conjuntos de cifrado de Seguridad en la capa de transporte (TLS) menos seguros.
Información general
Google Cloud admite varios paquetes de cifrado TLS. Para cumplir los requisitos de seguridad o de cumplimiento, puede que quieras rechazar las solicitudes de clientes que usen paquetes de cifrado TLS menos seguros.
Esta función se proporciona mediante la gcp.restrictTLSCipherSuites
restricción de política de organización.
La restricción se puede aplicar a organizaciones, carpetas o proyectos de la jerarquía de recursos.
Puedes usar la restricción gcp.restrictTLSCipherSuites como lista de permitidos o como lista de denegados:
- Lista de permitidos: permite un conjunto específico de conjuntos de cifrado. Todas las demás se rechazan.
- Lista de denegación: deniega un conjunto específico de conjuntos de cifrado. Todas las demás están permitidas.
Debido al comportamiento de la evaluación de la jerarquía de políticas de organización, la restricción de conjuntos de cifrado TLS se aplica al nodo de recurso especificado y a todos sus elementos secundarios. Por ejemplo, si solo permites determinados conjuntos de cifrado TLS en una organización, también se aplicarán a todas las carpetas y proyectos (elementos secundarios) que dependan de esa organización.
Antes de empezar
Para obtener los permisos que necesitas para definir, cambiar o eliminar políticas de la organización,
pide a tu administrador que te conceda el
rol de gestión de identidades y accesos Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
en la organización.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Definir la política de la organización
La restricción Restrict TLS cipher suites es un tipo de restricción de lista. Puedes añadir y quitar conjuntos de cifrado de las listas allowed_values o denied_values de una restricción de conjuntos de cifrado de TLS. Para evitar que las políticas de organización sean demasiado restrictivas y simplificar la gestión de políticas, utiliza grupos de valores. Los grupos de valores son conjuntos de cifrado TLS recomendados y seleccionados por Google.
Consola
Abre la página Políticas de la organización en la consola de Google Cloud .
Selecciona el selector de proyectos en la parte superior de la página.
En el selector de proyectos, selecciona el recurso para el que quieras definir la política de la organización.
Selecciona la restricción Restringir conjuntos de cifrado TLS en la lista de la página Políticas de organización.
Para actualizar la política de la organización de este recurso, haz clic en Gestionar política.
En la página Editar, selecciona Personalizar.
En Implementación de la política, selecciona una opción:
Para combinar y evaluar las políticas de tu organización, selecciona Combinar con la principal. Para obtener más información sobre la herencia y la jerarquía de recursos, consulta Información sobre la evaluación jerárquica.
Para anular las políticas heredadas de un recurso superior, seleccione Reemplazar.
Haz clic en Añadir regla.
En Valores de la política, selecciona Personalizado.
En Tipo de política, selecciona Permitir para crear una lista de conjuntos de cifrado permitidos o Denegar para crear una lista de conjuntos de cifrado denegados.
En Valores personalizados, introduce el prefijo
in:y una cadena de grupo de valores. A continuación, pulsa Intro.Por ejemplo,
in:NIST-800-52-recommended-ciphers. Puede introducir varias cadenas de grupos de valores haciendo clic en Añadir valor.También puedes introducir cadenas de conjuntos de cifrado específicos con el prefijo
is:. Para ver una lista de los valores admitidos, consulta conjuntos de cifrado admitidos.
Para aplicar la política, haz clic en Definir política.
gcloud
Para crear una política de organización que aplique la restricción Restrict TLS Cipher Suites, crea un archivo YAML de política que haga referencia a la restricción:
constraint: constraints/gcp.restrictTLSCipherSuites
listPolicy:
allowedValues:
- in:CNSA-2.0-recommended-ciphers
- is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando:
gcloud resource-manager org-policies set-policy \ --RESOURCE_TYPE RESOURCE_ID \ POLICY_PATH
Haz los cambios siguientes:
RESOURCE_TYPEconorganization,folderoproject.RESOURCE_IDcon el ID de tu organización, el ID de la carpeta, el ID del proyecto o el número del proyecto.POLICY_PATHcon la ruta completa al archivo YAML que contiene la política de la organización.
Se devuelve una respuesta con los resultados de la nueva política de la organización:
constraint: constraints/gcp.restrictTLSCipherSuites etag: COS9qr0GELii6o0C listPolicy: allowedValues: - in:CNSA-2.0-recommended-ciphers - is:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA updateTime: '2025-02-11T00:50:44.565875Z'
Grupos de valores
Los grupos de valores son colecciones de conjuntos de cifrado seleccionados por Google para ofrecer una forma más sencilla de definir los conjuntos de cifrado TLS preferidos o recomendados. Los grupos de valores incluyen varios conjuntos de cifrado y Google los amplía con el tiempo. No es necesario que cambies la política de tu organización para adaptarla a los nuevos conjuntos de cifrado.
Para aplicarlos en tu política de organización, incluye el prefijo in: en las entradas. Para obtener más información sobre cómo usar prefijos de valor, consulta Usar restricciones.
Los nombres de los grupos de valores se validan en la llamada para definir la política de la organización.
Si se usa un nombre de grupo no válido, se producirá un error en la configuración de la política.
En la siguiente tabla se muestra la lista actual de grupos disponibles:
| Grupo | Detalles | Miembros directos |
|---|---|---|
| CNSA-2.0-recommended-ciphers | Cifrados recomendados por CNSA 2.0 compatibles con Google Cloud:in:CNSA-2.0-recommended-ciphers |
Valores:
|
| NIST-800-52-recommended-ciphers | Cifrados recomendados por NIST SP 800-52 compatibles con Google Cloud:in:NIST-800-52-recommended-ciphers |
Valores:
|
Paquetes de cifrado admitidos
Esta es la lista de conjuntos de cifrado admitidos por Google Cloud.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
Mensaje de error
Los servicios que admiten la restricción de paquetes de cifrado TLS deniegan las solicitudes que infringen la restricción.
Ejemplo de mensaje de error
El mensaje de error tiene un formato similar al del siguiente ejemplo:
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/PROJECT_NUMBER'. Access to service 'SERVICE_NAME.googleapis.com' attempted with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X` To access this resource, please use an allowed TLS Cipher Suite.
Esta salida incluye los siguientes valores:
PROJECT_NUMBER: el número de proyecto que aloja el recurso al que se hace referencia en el comando anterior.SERVICE_NAME: nombre del servicio incluido en el ámbito bloqueado por la política Restringir conjuntos de cifrado TLS.TLS_Cipher_Suite_X: el conjunto de algoritmos de cifrado TLS usado en la solicitud.
Ejemplo de registro de auditoría de Cloud
También se genera una entrada en el registro de auditoría para monitorizar, enviar alertas o depurar. La entrada del registro de auditoría es similar al siguiente ejemplo:
{ logName: "projects/my-project-number/logs/cloudaudit.googleapis.com%2Fpolicy" protoPayload: { @type: "type.googleapis.com/google.cloud.audit.AuditLog" status: { code: 7 message: "Request is disallowed by organization's TLS Cipher Suite Restriction Org Policy for 'projects/my-project-number'. Attempting to use service 'bigquery.googleapis.com' with a disallowed TLS Cipher Suite: 'TLS_Cipher_Suite_X`." } serviceName: "bigquery.googleapis.com" methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll" resourceName: "projects/my-project-number" authenticationInfo: { principalEmail: "user_or_service_account@example.com" } } requestMetadata: { callerIp: "123.123.123.123" } policyViolationInfo: { orgPolicyViolationInfo: { violationInfo: [ { constraint: "constraints/gcp.restrictTlsCipherSuites" errorMessage: "TLS Cipher Suite Restriction Org Policy is violated" policyType: "LIST_CONSTRAINT" } ] } } resource: { type: "audited_resource" labels: { project_id: "my-project-number" method: "google.cloud.bigquery.v2.TableDataService.InsertAll" service: "bigquery.googleapis.com" } } severity: "ERROR" timestamp: "2023-10-27T19:27:24.633477924Z" receiveTimestamp: "2023-10-27T19:27:25.071941737Z" insertId "42" }
Probar la política
Puedes probar la restricción de la política de cifrado TLS en cualquier servicio incluido. El siguiente ejemplo de comando curl valida los paquetes de cifrado TLS restringidos de un conjunto de claves de Cloud Key Management Service.
curl --ciphers TLS_CIPHER_SUITE --tls_max 1.2 -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings" --verbose
Sustituye las siguientes variables:
TLS_CIPHER_SUITE: el nombre del paquete de cifrado TLS en la convención de nomenclatura de OpenSSL. Por ejemplo,ECDHE-ECDSA-AES128-SHAes el nombre de OpenSSL deTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA.PROJECT_ID: nombre del proyecto que contiene el conjunto de claves
En la siguiente solicitud de curl se muestra PROJECT_ID con el valor my-project-id y TLS_CIPHER_SUITE con el valor ECDHE-ECDSA-AES128-SHA:
curl --ciphers ECDHE-ECDSA-AES128-SHA --tls-max 1.2 \ GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudkms.googleapis.com/v1/projects/my-project-id/locations/global/keyRings" --verbose
Si la política de organización de "my-project-id" está configurada para denegar TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA , se producirá un error en cualquier intento de acceder a recursos con el cifrado en el proyecto restringido por la política en este comando de ejemplo.
Se devuelve un mensaje de error similar al siguiente ejemplo que describe el motivo de este fallo.
Request is disallowed by organization's constraints/gcp.restrictTLSCipherSuites constraint for 'projects/my-project-id'. Access to service cloudkms.googleapis.com attempted with a disallowed TLS Cipher Suite: `TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA`. To access this resource, please use an allowed TLS Cipher Suite.
Crear una política de la organización en modo de prueba de funcionamiento
Una política de la organización en modo de prueba es un tipo de política de la organización en el que las infracciones de la política se registran en la auditoría, pero las acciones infractoras no se deniegan. Puedes crear una política de organización en modo de prueba con la restricción de conjunto de cifrado TLS para monitorizar cómo afectaría a tu organización antes de aplicar la política activa. Para obtener más información, consulta Crear una política de organización en modo de prueba.
Servicios admitidos
Los siguientes servicios admiten la opción Restringir paquetes de cifrado TLS. La restricción se aplica a todas las variaciones del endpoint de la API, incluidos los endpoints globales, de ubicación y regionales. Para obtener más información, consulta la página Tipos de endpoint de la API.
| Producto | punto final de API |
|---|---|
| API Gateway |
apigateway.googleapis.com |
| Claves de API |
apikeys.googleapis.com |
| Administrador de contextos de acceso |
accesscontextmanager.googleapis.com |
| Apigee |
apigee.googleapis.com |
| Hub de APIs de Apigee |
apihub.googleapis.com |
| API Apigee API Management |
apim.googleapis.com |
| API de Apigee Connect |
apigeeconnect.googleapis.com |
| API del portal de Apigee |
apigeeportal.googleapis.com |
| API Apigee Registry |
apigeeregistry.googleapis.com |
| API App Config Manager |
appconfigmanager.googleapis.com |
| App Hub |
apphub.googleapis.com |
| Application Design Center |
designcenter.googleapis.com |
| Application Integration |
integrations.googleapis.com |
| Artifact Analysis |
containeranalysis.googleapis.com ondemandscanning.googleapis.com |
| Artifact Registry |
artifactregistry.googleapis.com |
| Assured Open Source Software |
assuredoss.googleapis.com |
| Assured Workloads |
assuredworkloads.googleapis.com |
| Audit Manager |
auditmanager.googleapis.com |
| API Authorization Toolkit |
authztoolkit.googleapis.com |
| Servicio de copia de seguridad y DR |
backupdr.googleapis.com |
| Copia de seguridad de GKE |
gkebackup.googleapis.com |
| Lotes |
batch.googleapis.com |
| Chrome Enterprise Premium |
beyondcorp.googleapis.com |
| BigLake |
biglake.googleapis.com |
| BigQuery |
bigquery.googleapis.com |
| Conexiones de BigQuery |
bigqueryconnection.googleapis.com |
| Política de datos de BigQuery |
bigquerydatapolicy.googleapis.com |
| BigQuery Data Transfer |
bigquerydatatransfer.googleapis.com |
| Migración de BigQuery |
bigquerymigration.googleapis.com |
| Reserva de BigQuery |
bigqueryreservation.googleapis.com |
| API Saved Query de BigQuery |
bigquery-sq.googleapis.com |
| Almacenamiento de BigQuery |
bigquerystorage.googleapis.com |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
| Autorización binaria |
binaryauthorization.googleapis.com |
| Analíticas de cadena de bloques |
blockchain.googleapis.com |
| Blockchain Node Engine |
blockchainnodeengine.googleapis.com |
| Gestor de validadores de cadena de bloques |
blockchainvalidatormanager.googleapis.com |
| Planificador de capacidad |
capacityplanner.googleapis.com |
| Servicio de Autoridades de Certificación |
privateca.googleapis.com |
| Certificate Manager |
certificatemanager.googleapis.com |
| Inventario de Recursos de Cloud |
cloudasset.googleapis.com |
| Facturación de Google Cloud |
cloudbilling.googleapis.com |
| Cloud Build |
cloudbuild.googleapis.com |
| Cloud CDN |
compute.googleapis.com |
| API Cloud Commerce Producer |
cloudcommerceproducer.googleapis.com |
| Cloud Composer |
composer.googleapis.com |
| API Cloud Controls Partner |
cloudcontrolspartner.googleapis.com |
| Cloud DNS |
dns.googleapis.com |
| Cloud Data Fusion |
datafusion.googleapis.com |
| Cloud Deployment Manager |
runtimeconfig.googleapis.com deploymentmanager.googleapis.com |
| Cloud Domains |
domains.googleapis.com |
| API de Cloud Healthcare |
healthcare.googleapis.com |
| Cloud Interconnect |
compute.googleapis.com |
| Sistema de Detección de Intrusos de Cloud |
ids.googleapis.com |
| Cloud Key Management Service |
cloudkms.googleapis.com |
| Cloud Life Sciences |
lifesciences.googleapis.com |
| Cloud Load Balancing |
compute.googleapis.com |
| Cloud Logging |
logging.googleapis.com |
| Cloud Monitoring |
monitoring.googleapis.com |
| Cloud NAT |
compute.googleapis.com |
| API Cloud Natural Language |
language.googleapis.com |
| Imprescindibles de Cloud Next Generation Firewall |
compute.googleapis.com networksecurity.googleapis.com |
| Cloud Next Generation Firewall Standard |
compute.googleapis.com networksecurity.googleapis.com |
| API de Cloud OS Login |
oslogin.googleapis.com |
| Cuotas de Cloud |
cloudquotas.googleapis.com |
| Cloud Router |
compute.googleapis.com |
| Cloud Run |
run.googleapis.com |
| Cloud Scheduler |
cloudscheduler.googleapis.com |
| Cloud SQL |
sqladmin.googleapis.com |
| Cloud Service Mesh |
meshconfig.googleapis.com networksecurity.googleapis.com |
| API Cloud Support |
cloudsupport.googleapis.com |
| API Cloud Tool Results |
toolresults.googleapis.com |
| TPU de Cloud |
tpu.googleapis.com |
| Cloud VPN |
compute.googleapis.com |
| Cloud Workstations |
workstations.googleapis.com |
| API Commerce Agreement Publishing |
commerceagreementpublishing.googleapis.com |
| API Commerce Business Enablement |
commercebusinessenablement.googleapis.com |
| API Commerce Price Management |
commercepricemanagement.googleapis.com |
| Compute Engine |
compute.googleapis.com |
| Confidential Computing |
confidentialcomputing.googleapis.com |
| Conectar |
gkeconnect.googleapis.com |
| Pasarela de conexión |
connectgateway.googleapis.com |
| API Contact Center AI Platform |
contactcenteraiplatform.googleapis.com |
| Container Threat Detection |
containerthreatdetection.googleapis.com |
| API Content Warehouse |
contentwarehouse.googleapis.com |
| API Continuous Validation |
continuousvalidation.googleapis.com |
| API de Data Labeling |
datalabeling.googleapis.com |
| API Data Security Posture Management |
dspm.googleapis.com |
| Database Migration Service |
datamigration.googleapis.com |
| Dataform |
dataform.googleapis.com |
| Dataflow |
dataflow.googleapis.com |
| Dataplex Universal Catalog |
dataplex.googleapis.com datalineage.googleapis.com |
| Dataproc |
dataproc.googleapis.com |
| Dataproc en GDC |
dataprocgdc.googleapis.com |
| Datastream |
datastream.googleapis.com |
| Google Distributed Cloud |
opsconfigmonitoring.googleapis.com gdcvmmanager.googleapis.com gdchardwaremanagement.googleapis.com |
| API de contenedor de Distributed Cloud Edge |
edgecontainer.googleapis.com |
| API Distributed Cloud Edge Network |
edgenetwork.googleapis.com |
| Enterprise Knowledge Graph |
enterpriseknowledgegraph.googleapis.com |
| Error Reporting |
clouderrorreporting.googleapis.com |
| Contactos esenciales |
essentialcontacts.googleapis.com |
| Eventarc |
eventarc.googleapis.com |
| Filestore |
file.googleapis.com |
| API Financial Services |
financialservices.googleapis.com |
| Firebase App Hosting |
firebaseapphosting.googleapis.com |
| Firebase Data Connect |
firebasedataconnect.googleapis.com |
| Reglas de seguridad de Firebase |
firebaserules.googleapis.com |
| Firestore |
firestore.googleapis.com |
| Firestore en modo Datastore |
datastore.googleapis.com |
| GKE Dataplane Management |
gkedataplanemanagement.googleapis.com |
| API GKE Enterprise Edge |
anthosedge.googleapis.com |
| Centro de control (flota) |
gkehub.googleapis.com |
| GKE Multi-cloud |
gkemulticloud.googleapis.com |
| API de GKE On-Prem |
gkeonprem.googleapis.com |
| API de Gemini para Google Cloud |
cloudaicompanion.googleapis.com |
| Google Cloud API |
cloud.googleapis.com |
| Google Cloud Armor |
compute.googleapis.com |
| Google Cloud Migration Center |
migrationcenter.googleapis.com |
| Google Cloud Observability |
stackdriver.googleapis.com |
| Google Kubernetes Engine |
container.googleapis.com configdelivery.googleapis.com |
| Google Security Operations SIEM |
chronicle.googleapis.com chronicleservicemanager.googleapis.com |
| API Google Security Operations Partner |
chroniclepartner.googleapis.com |
| Complementos de Google Workspace |
gsuiteaddons.googleapis.com |
| Gestión de Identidades y Accesos |
iam.googleapis.com |
| Identity-Aware Proxy |
iap.googleapis.com |
| Immersive Stream |
stream.googleapis.com |
| Infrastructure Manager |
config.googleapis.com |
| Integration Connectors |
connectors.googleapis.com |
| KRM API Hosting |
krmapihosting.googleapis.com |
| API Live Stream |
livestream.googleapis.com |
| Looker Studio |
datastudio.googleapis.com |
| El motor de BigQuery para Apache Flink |
managedflink.googleapis.com |
| API Managed Kafka |
managedkafka.googleapis.com |
| Service Management |
servicemanagement.googleapis.com |
| Media Asset Manager |
mediaasset.googleapis.com |
| Memorystore para Memcached |
memcache.googleapis.com |
| Memorystore para Redis |
redis.googleapis.com |
| Memorystore para Valkey |
memorystore.googleapis.com |
| API Message Streams |
messagestreams.googleapis.com |
| API de microservicios |
microservices.googleapis.com |
| Migrate to Virtual Machines |
vmmigration.googleapis.com |
| Model Armor |
modelarmor.googleapis.com |
| Network Connectivity Center |
networkconnectivity.googleapis.com |
| Network Intelligence Center |
networkmanagement.googleapis.com |
| Niveles de servicio de red |
compute.googleapis.com |
| Persistent Disk |
compute.googleapis.com |
| Base de datos de Oracle@Google Cloud |
oracledatabase.googleapis.com |
| Parallelstore |
parallelstore.googleapis.com |
| Analizador de políticas |
policyanalyzer.googleapis.com |
| Solucionador de problemas de políticas |
policytroubleshooter.googleapis.com |
| Lanzamiento progresivo |
progressiverollout.googleapis.com |
| Pub/Sub |
pubsub.googleapis.com |
| Public Certificate Authority |
publicca.googleapis.com |
| Recomendador |
recommender.googleapis.com |
| Remote Build Execution |
remotebuildexecution.googleapis.com |
| API Retail |
retail.googleapis.com |
| Centro de Seguros de Ciberseguridad |
riskmanager.googleapis.com |
| API SaaS Service Management |
saasservicemgmt.googleapis.com |
| API SecLM |
seclm.googleapis.com |
| Secret Manager |
secretmanager.googleapis.com |
| Security Command Center |
securitycenter.googleapis.com securitycentermanagement.googleapis.com securityposture.googleapis.com |
| Cloud Data Loss Prevention |
dlp.googleapis.com |
| API Service Account Credentials |
iamcredentials.googleapis.com |
| Directorio de servicios |
servicedirectory.googleapis.com |
| Redes de servicios |
servicenetworking.googleapis.com |
| Spanner |
spanner.googleapis.com |
| Cloud Storage |
storage.googleapis.com |
| Speaker ID |
speakerid.googleapis.com |
| Speech‑to‑Text |
speech.googleapis.com |
| Storage Insights |
storageinsights.googleapis.com |
| Servicio de transferencia de Storage |
storagebatchoperations.googleapis.com storagetransfer.googleapis.com |
| Text‑to‑Speech |
texttospeech.googleapis.com |
| API de Timeseries Insights |
timeseriesinsights.googleapis.com |
| API Transcoder |
transcoder.googleapis.com |
| Transfer Appliance |
transferappliance.googleapis.com |
| VM Manager |
osconfig.googleapis.com |
| API de Vertex AI |
aiplatform.googleapis.com |
| Vertex AI Workbench |
notebooks.googleapis.com |
| Vertex AI in Firebase |
firebasevertexai.googleapis.com |
| Nube privada virtual (VPC) |
compute.googleapis.com |
| API Video Search |
cloudvideosearch.googleapis.com |
| API Video Stitcher |
videostitcher.googleapis.com |
| Web Risk |
webrisk.googleapis.com |
| Web Security Scanner |
websecurityscanner.googleapis.com |
| Flujos de trabajo |
workflows.googleapis.com |
| API Workload Certificate |
workloadcertificate.googleapis.com |
| Workload Manager |
workloadmanager.googleapis.com |
Servicios no admitidos
La restricción de la política de organización de paquetes de cifrado TLS no se aplica a los siguientes servicios:
- Apigee (
*.apigee.net,*.apigee.comy*.apigee.io) - App Engine (
*.appspot.com) - Funciones de Cloud Run (
*.cloudfunctions.net) - Cloud Run (
*.run.app) - Private Service Connect
- Dominios personalizados
Para restringir los paquetes de cifrado TLS de estos servicios, usa Cloud Load Balancing junto con la política de seguridad SSL.
Google Cloud preferencia de conjunto de cifrado
Los endpoints de los servicios admitidos priorizan AES-256 sobre AES-128 y sobre ChaCha20. Los clientes que admitan AES-256 deberían poder negociar con éxito este cifrado sin necesidad de cambiar la configuración.