Gunakan {i>Common Expression Language<i}

Halaman ini menjelaskan cara menggunakan Common Expression Language (CEL) dengan kebijakan penerbitan sertifikat, template sertifikat, dan kondisi Identity and Access Management (IAM) di kumpulan CA Anda.

Ringkasan

Common Expression Language (CEL) adalah bahasa lengkap non-Turing open source yang menerapkan semantik umum untuk evaluasi ekspresi. Certificate Authority Service mendukung CEL untuk menerapkan berbagai kontrol kebijakan untuk penerbitan sertifikat.

Ada dua dialek CEL yang dapat digunakan dengan CA Service:

• Dialek fleksibel yang dapat digunakan dalam kebijakan penerbitan sertifikat kumpulan CA dan template sertifikat.
• Dialek lebih terbatas yang dapat digunakan dalam kondisi IAM.

Dialek CEL untuk kebijakan penerbitan sertifikat dan template sertifikat

Saat membuat kumpulan CA atau template sertifikat, Anda dapat menentukan ekspresi CEL sebagai bagian dari batasan identitas sertifikat. Ekspresi CEL memungkinkan Anda memvalidasi kolom Subject and Subject Alternative Name (SAN).

Untuk informasi selengkapnya tentang kebijakan penerbitan, lihat Menambahkan kebijakan penerbitan sertifikat ke kumpulan CA.

Untuk informasi selengkapnya tentang template sertifikat, lihat Ringkasan template sertifikat dan kebijakan penerbitan.

Dialek CEL untuk batasan identitas kumpulan CA dan template sertifikat mengekspos variabel berikut untuk mengakses dan memvalidasi kolom SAN dan subjek:

• Subjek: subject
• SAN: subject_alt_names

Subjek

Anda dapat memvalidasi semua kolom dalam nama domain subjek sertifikat (termasuk nama umum), seperti yang ditentukan dalam permintaan sertifikat menggunakan variabel jenis Subject dan nama subject.

Subject adalah struktur yang berisi kolom berikut:

Jenis	Nama
String	common_name
String	country_code
String	organisasi
String	organizational_unit
String	lokalitas
String	provinsi
String	street_address
String	postal_code

Nama Alternatif Subjek (SAN)

Anda dapat memvalidasi semua SAN seperti yang ditentukan dalam permintaan sertifikat menggunakan variabel subject_alt_names. Variabel subject_alt_names berisi daftar struktur SAN, dengan setiap SAN berjenis SubjectAltName.

SubjectAltName adalah struct yang berisi kolom berikut:

Jenis	Nama
String	value
[]Int32	Oid
Enum	jenis

Anda dapat menggunakan nilai berikut untuk jenis SubjectAltName:

• DNS
• URI
• EMAIL
• IP_ADDRESS
• CUSTOM

Variabel subject_alt_names berisi daftar dengan semua SAN yang diminta.

Anda dapat menggunakan makro berikut di SAN:

• subject_alt_names.all(san, predicate)
• subject_alt_names.exists(san, predicate)
• subject_alt_names.exists_one(san, predicate)
• subject_alt_names.filter(san, predicate)

Untuk informasi selengkapnya tentang makro, lihat Definisi bahasa: Makro.

Contoh ekspresi

Memastikan nama umum tertentu dan kumpulan negara

subject.common_name == "google.com" && (subject.country_code == "US" || subject.country_code == "IR")

Memastikan semua nama DNS diakhiri dengan string kustom

subject_alt_names.all(san, san.type == DNS && san.value.endsWith(".test.com"))

Memastikan semua SAN merupakan jenis DNS atau EMAIL

subject_alt_names.all(san, san.type == DNS || san.type == EMAIL )

Memastikan hanya satu SAN kustom dengan OID tertentu

subject_alt_names.size() == 1 && subject_alt_names[0].oid == [1, 2, 3, 5, 17]

Memastikan SAN kustom hanya merupakan kumpulan OID

subject_alt_names.all(san, san.oid == [1, 2, 4, 5, 55] || san.oid == [1, 2, 4, 5, 54])

Dialek CEL untuk kebijakan IAM

Gunakan kondisi IAM untuk subjek binding peran IAM ke ekspresi kondisional. Jika kondisi bernilai true, binding peran IAM akan efektif. Jika tidak, binding peran IAM akan diabaikan. CA Service memungkinkan Anda menambahkan binding kondisional IAM ke kumpulan CA.

Kondisi IAM adalah ekspresi CEL yang mereferensikan sekumpulan atribut kontekstual tentang permintaan dan dievaluasi ke boolean. Pengguna menetapkan kondisi pada binding peran dalam kebijakan IAM, yang disimpan oleh IAM dan dievaluasi untuk melihat apakah operasi yang akan dilakukan diizinkan.

Untuk mengetahui informasi selengkapnya tentang kondisi IAM, lihat Ringkasan kondisi IAM.

Atribut berikut ditampilkan selama evaluasi CEL kondisi IAM:

• privateca.googleapis.com/subject

  privateca.googleapis.com/subject dapat diakses sebagai api.getAttribute('privateca.googleapis.com/subject', {}).

Jenis	Deskripsi
map{string, string}	Kolom ini berisi nama subjek yang dibedakan (termasuk nama umum) seperti yang ditentukan dalam permintaan sertifikat yang masuk. Contoh {  'common_name': 'Foobar',  'organization': 'Example LLC'  'country_code' :'US'  'organizational_unit':'Foobar'  'locality':'Mountain View'  'Province':'California'  'street_address':'Foobar 22'  'postal_code':55555 }

• privateca.googleapis.com/subject_alt_names

  privateca.googleapis.com/subject_alt_names dapat diakses sebagai api.getAttribute('privateca.googleapis.com/subject_alt_names', []).

Jenis	Deskripsi
list{string}	Kolom ini berisi semua SAN yang diminta sebagaimana ditentukan dalam permintaan sertifikat yang masuk. Setiap SAN yang diminta diawali dengan jenisnya. SAN dengan jenis yang tidak diketahui diawali dengan OID serialisasi jenis. Contoh {  'dns:foo.bar.com',  'uri:spiffe://foo/ns/bar/sa/baz'  'email:foo@bar.com'  'ip:169.169.254.254'  'custom:1.2.3.4.5.6.3:foobar' }

• privateca.googleapis.com/template

  privateca.googleapis.com/template dapat diakses sebagai api.getAttribute('privateca.googleapis.com/template', '').

Jenis	Deskripsi
String	Template sertifikat yang digunakan, jika ada. Formatnya adalah {project_id}/-/{template_id}. Contoh: my-project-pki/-/workload_tls

Nama template yang diberikan dalam kondisi IAM harus cocok dengan nama template dalam permintaan sertifikat. Jadi, jika memberikan project ID dalam atribut privateca.googleapis.com/template dari ekspresi CEL, Anda juga harus memberikan project ID saat meminta sertifikat. Jika memberikan nomor project dalam ekspresi CEL, Anda juga harus memberikan nomor project dalam permintaan sertifikat.

Contoh ekspresi

Memastikan semua subjek menetapkan organisasi sebagai 'Contoh' dan kode negara menjadi US atau UK

api.getAttribute('privateca.googleapis.com/subject', {})['organization'] == 'Example' &&
api.getAttribute('privateca.googleapis.com/subject', {})['country_code'] in ['US', 'UK']

Memastikan permintaan sertifikat hanya menyertakan SAN DNS tertentu

api.getAttribute('privateca.googleapis.com/subject_alt_names', [])
        .hasOnly(['dns:sample1.prod.example.com', 'dns:sample2.prod.example.com'])

Memastikan semua sertifikat menggunakan template tertentu

api.getAttribute('privateca.googleapis.com/template', '') == 'my-project-pki/-/leaf-server-tls'

Langkah selanjutnya

• Baca pengantar CEL.
• Pelajari lebih lanjut definisi bahasa untuk CEL.
• Pelajari template sertifikat dan kebijakan penerbitan.
• Baca ringkasan kondisi IAM.
• Pelajari cara menambahkan kebijakan penerbitan sertifikat ke kumpulan CA.