Common Expression Language (CEL) adalah bahasa open source non-Turing yang lengkap, yang menerapkan semantik umum untuk evaluasi ekspresi. Secure Web Proxy menggunakan subkumpulan kondisi CEL untuk membuat
keputusan otorisasi boolean berdasarkan data atribut. Secara umum, ekspresi
kondisi terdiri dari satu atau beberapa pernyataan yang digabungkan oleh operator
logis (&&, ||, atau !). Setiap pernyataan menyatakan aturan kontrol
berbasis atribut yang berlaku pada binding peran dan pada akhirnya menentukan apakah
akses diizinkan atau tidak.
Atribut
Atribut sesi dan atribut aplikasi digunakan saat menentukan kebijakan Proxy Web Aman untuk mendeskripsikan atribut sesi atau atribut aplikasi tempat kebijakan diterapkan.
Atribut sesi, yang dijelaskan oleh SessionMatcher, berlaku untuk atribut khusus sesi, seperti alamat IP sumber atau tujuan, host, atau rentang IP. Atribut aplikasi, yang dijelaskan oleh ApplicationMatcher, berlaku untuk atribut aplikasi, seperti header permintaan, metode permintaan HTTP, atau jalur permintaan.
Atribut yang tersedia di SessionMatcher dan ApplicationMatcher
Tabel berikut menjelaskan atribut yang berlaku untuk SessionMatcher dan
ApplicationMatcher.
| Atribut | Jenis atribut | Deskripsi |
|---|---|---|
source.ip |
string | Alamat IP klien yang mengirim permintaan. |
source.port |
bilangan bulat | Port klien yang mengirim permintaan. |
destination.port |
bilangan bulat | Port upstream yang menjadi tujuan pengiriman traffic dari instance Secure Web Proxy. |
host() |
string | Nilai host yang digunakan untuk resolusi DNS dan koneksi upstream.
Tidak termasuk port ini.
Nilainya ditentukan oleh hal berikut:
|
source.matchTag(SECURE_TAG) |
boolean |
Argumennya adalah ID permanen tag aman, seperti
|
source.matchServiceAccount(SERVICE_ACCOUNT) |
boolean | True jika sumber terkait dengan
SERVICE_ACCOUNT, seperti
source.matchServiceAccount('x@my-project.iam.gserviceaccount.com').
|
inUrlList(HOST_OR_URL, NAMED_LIST) |
boolean |
Jika pola |
inIpRange(IP_ADDRESS, |
boolean | True jika IP_ADDRESS berada
dalam IP_RANGE seperti
inIpRange(source.ip, '1.2.3.0/24'). Subnet mask untuk alamat IPv6 tidak boleh lebih besar dari /64.
|
Atribut hanya tersedia untuk ApplicationMatcher
Tabel berikut menjelaskan atribut yang hanya berlaku untuk
ApplicationMatcher.
| Atribut | Jenis atribut | Deskripsi |
|---|---|---|
request.headers |
map | Peta string-ke-string untuk header permintaan HTTP. Jika header berisi beberapa nilai, nilai dalam peta ini adalah string yang dipisahkan koma dari semua nilai header. Kunci dalam peta ini semuanya huruf kecil. |
request.method |
string | Metode Permintaan HTTP, seperti GET atau POST. |
request.host |
string | Kenyamanan setara dengan Dalam sebagian besar kasus, sebaiknya gunakan |
request.path |
string | Jalur URL HTTP yang diminta. |
request.query |
string | Kueri URL HTTP dalam format
Tidak ada decoding yang dilakukan. |
request.scheme |
string | Skema URL HTTP, seperti HTTP atau HTTPS. Semua nilai untuk atribut ini menggunakan huruf kecil. |
request.url() |
string | Kenyamanan untuk Ini tidak mencakup port dan menggunakan nilai host yang mungkin berbeda dari header host. |
request.useragent() |
string | Kenyamanan setara dengan request.headers['user-agent']. |
Operator
Secure Web Proxy mendukung beberapa operator yang dapat digunakan untuk membuat ekspresi logika kompleks dari pernyataan ekspresi sederhana. Secure Web Proxy mendukung operator logis, seperti &&, ||,, dan !, serta operator manipulasi string, seperti x.contains('y').
Operator logika memungkinkan Anda memverifikasi beberapa variabel dalam ekspresi
kondisional. Misalnya, request.method == 'GET' && host().matches('.*\.example.com') menggabungkan dua pernyataan, dan mengharuskan kedua pernyataan memiliki nilai True untuk menghasilkan hasil keseluruhan True.
Operator manipulasi string mencocokkan string atau substring yang Anda tentukan, dan memungkinkan Anda mengembangkan aturan untuk mengontrol akses ke resource tanpa mencantumkan setiap kombinasi yang memungkinkan.
Operator logika
Tabel berikut menjelaskan operator logika yang didukung oleh Secure Web Proxy.
| Contoh ekspresi | Deskripsi |
|---|---|
x == "foo" |
Menampilkan True jika x sama dengan argumen literal string konstan. |
x == R"fo'o" |
Menampilkan True jika x sama dengan literal string mentah yang diberikan yang tidak menafsirkan urutan escape. Literal string
mentah cocok untuk mengekspresikan string yang harus
digunakan kode untuk meng-escape karakter urutan. |
x == y |
Menampilkan True jika x sama dengan y. |
x != y |
Menampilkan True jika x tidak sama dengan
y. |
x && y |
Menampilkan True jika x dan y adalah True. |
x || y |
Menampilkan True jika x, y, atau keduanya
adalah True. |
!x |
Menampilkan True jika nilai boolean x adalah
False, atau menampilkan False jika nilai boolean
x adalah True. |
m['k'] |
Jika kunci k ada, tampilkan nilai pada kunci k dalam peta string-ke-string m. Jika kunci
k tidak ada, tampilkan error yang
menyebabkan aturan yang sedang dievaluasi tidak cocok. |
Operator manipulasi string
Tabel berikut menjelaskan operator manipulasi string yang didukung Proxy Web Aman.
| Ekspresi | Deskripsi |
|---|---|
x.contains(y) |
Menampilkan True jika string x berisi substring y. |
x.startsWith(y) |
Menampilkan True jika string x diawali dengan substring y. |
x.endsWith(y) |
Menampilkan True jika string x diakhiri dengan substring y. |
x.matches(y) |
Menampilkan Pola RE2 dikompilasi menggunakan opsi RE2::Latin1 yang menonaktifkan fitur Unicode. |
x.lower() |
Menampilkan nilai huruf kecil dari string x. |
x.upper() |
Menampilkan nilai huruf besar dari string x. |
x + y |
Menampilkan string gabungan xy. |
int(x) |
Mengonversi hasil string x ke jenis int. String yang dikonversi dapat digunakan untuk perbandingan bilangan bulat dengan
operator aritmetika standar seperti > dan
<=. Ini hanya berfungsi untuk nilai yang bisa berupa bilangan bulat. |