Se usó la API de Cloud Translation para traducir esta página.

Referencia del lenguaje del comparador de CEL

Common Expression Language (CEL) es un lenguaje de código abierto que no es Turing-completo y que implementa semánticas comunes para la evaluación de expresiones. El proxy web seguro usa un subconjunto de condiciones de CEL para tomar decisiones de autorización booleanas basadas en datos de atributos. En general, una expresión de condición consiste en una o más declaraciones que se unen a través de operadores lógicos (&&, || o !). Cada declaración expresa una regla de control basada en atributos que se aplica a la vinculación de roles y, en última instancia, determina si se permite el acceso.

Atributos

Los atributos de sesión y de aplicación se usan cuando se definen políticas de proxy web seguro para describir los atributos de sesión o los atributos de aplicación a los que se aplica una política.

Los atributos de sesión, que describe SessionMatcher, se aplican a atributos específicos de la sesión, como la dirección IP de origen o de destino, los hosts o el rango de IP. Los atributos de la aplicación, que describe ApplicationMatcher, se aplican a los atributos de la aplicación, como los encabezados de solicitud, el método de solicitud HTTP o la ruta de solicitud.

Atributos disponibles en `SessionMatcher` y `ApplicationMatcher`

En la siguiente tabla, se describen los atributos que se aplican a SessionMatcher y ApplicationMatcher.

Atributo	Tipo de atributo	Descripción
`source.ip`	string	La dirección IP del cliente que envió la solicitud.
`source.port`	integer	El puerto del cliente que envió la solicitud.
`destination.port`	integer	El puerto upstream al que la instancia del Proxy web seguro envía tráfico.
`host()`	string	El valor del host que se usa para la resolución de DNS y las conexiones ascendentes. Esto no incluye el puerto. El valor se determina según lo siguiente: Solicitudes HTTP sin procesar: el encabezado Host Solicitudes de CONNECT HTTP de túnel de proxy: El objetivo de CONNECT
`source.matchTag(SECURE_TAG)`	booleano	`True` si la fuente está asociada con `SECURE_TAG`. El argumento es el ID permanente de la etiqueta segura, como `source.matchTag('tagValues/123456')`.
`source.matchServiceAccount(SERVICE_ACCOUNT)`	booleano	`True` si la fuente está asociada con `SERVICE_ACCOUNT`, como `source.matchServiceAccount('x@my-project.iam.gserviceaccount.com')`.
`inUrlList(HOST_OR_URL, NAMED_LIST)`	booleano	`True` si `HOST_OR_URL` está presente en la lista nombrada proporcionada `NAMED_LIST`. Por ejemplo: `inUrlList(host(), 'projects/1234/locations/us-east1/urlLists/allowed-repos')` `inUrlList(request.url(), 'projects/1234/locations/us-east1/urlLists/allowed-repos')` Cuando un patrón `UrlList` coincide con valores sin una barra diagonal (`/`), como en `host()`, solo se encuentra la coincidencia de la parte del dominio del patrón. Para obtener más información sobre la interpretación de `UrlList`, consulta Cómo `UrlList` interpreta las entradas.
`inIpRange(IP_ADDRESS, IP_RANGE)`	booleano	`True` si `IP_ADDRESS` está contenido en `IP_RANGE`, como `inIpRange(source.ip, '1.2.3.0/24')`. Las máscaras de subred para las direcciones IPv6 no pueden ser mayores que /64.

Atributos disponibles solo para `ApplicationMatcher`

En la siguiente tabla, se describen los atributos que solo se aplican a ApplicationMatcher.

Atributo	Tipo de atributo	Descripción
`request.headers`	mapa	Es un mapa de cadena a cadena de los encabezados de solicitud HTTP. Si un encabezado contiene varios valores, el valor de este mapa es una cadena separada por comas de todos los valores del encabezado. Las claves en este mapa están en minúsculas.
`request.method`	string	El método de solicitud HTTP, como GET o POST
`request.host`	string	Conveniencia equivalente a `request.headers['host']`. En la mayoría de los casos, te recomendamos usar `host()`.
`request.path`	string	La ruta de URL HTTP solicitada.
`request.query`	string	Es la consulta de URL HTTP en el formato `name1=value&name2=value2`, como aparece en la primera línea de la solicitud HTTP. No se realiza ninguna decodificación.
`request.scheme`	string	Es el esquema de la URL HTTP, como HTTP o HTTPS. Todos los valores de este atributo están en minúsculas.
`request.url()`	string	Comodidad para `host() + request.path`. No incluye el puerto y usa un valor de host que puede diferir del encabezado de host.
`request.useragent()`	string	Es un método de conveniencia equivalente a `request.headers['user-agent']`.

Operadores

El Proxy web seguro admite varios operadores que se pueden usar para compilar expresiones lógicas complejas a partir de sentencias de expresión simples. El proxy web seguro admite operadores lógicos, como &&, ||, y !, y operadores de manipulación de cadenas, como x.contains('y').

Los operadores lógicos te permiten verificar varias variables en una expresión condicional. Por ejemplo, request.method == 'GET' && host().matches('.*\.example.com') une dos sentencias y requiere que ambas sean True para producir un resultado general de True.

Los operadores de manipulación de cadenas coinciden con las cadenas o subcadenas que defines y te permiten desarrollar reglas para controlar el acceso a los recursos sin enumerar todas las combinaciones posibles.

Operadores lógicos

En la siguiente tabla, se describen los operadores lógicos que admite el proxy web seguro.

Expresión de ejemplo	Descripción
`x == "foo"`	Muestra `True` si `x` es igual al argumento de literal de cadena constante.
`x == R"fo'o"`	Muestra `True` si `x` es igual al literal de cadena sin procesar determinado que no interpreta las secuencias de escape. Los literales de cadena sin procesar son convenientes para expresar cadenas que el código debe usar para escapar caracteres de secuencia.
`x == y`	Muestra `True` si `x` es igual a `y`.
`x != y`	Muestra `True` si `x` no es igual a `y`.
`x && y`	Muestra `True` si `x` y `y` son `True`.
`x \|\| y`	Muestra `True` si `x`, `y` o ambos son `True`.
`!x`	Muestra `True` si el valor booleano `x` es `False` o muestra `False` si el valor booleano `x` es `True`.
`m['k']`	Si la clave `k` está presente, muestra el valor de la clave `k` en el mapa de cadena a cadena `m`. Si la clave `k` no está presente, muestra un error que hace que la regla en evaluación no coincida.

Operadores de manipulación de cadenas

En la siguiente tabla, se describen los operadores de manipulación de cadenas que admite el proxy web seguro.

Expresión	Descripción
`x.contains(y)`	Muestra `True` si la cadena `x` contiene la substring `y`.
`x.startsWith(y)`	Muestra `True` si la cadena `x` comienza con la substring `y`.
`x.endsWith(y)`	Muestra `True` si la cadena `x` termina con la substring `y`.
`x.matches(y)`	Muestra `True` si la cadena `x` coincide con el patrón RE2 `y` especificado. El patrón RE2 se compila con la opción RE2::Latin1 que inhabilita las funciones de Unicode.
`x.lower()`	Muestra el valor de la cadena `x` en minúsculas.
`x.upper()`	Muestra el valor de la cadena `x` en mayúsculas.
`x + y`	Muestra la cadena concatenada `xy`.
`int(x)`	Convierte el resultado de la cadena de `x` en un tipo de `int`. La cadena convertida se puede usar para la comparación de números enteros con operadores aritméticos estándar, como `>` y `<=`. Esto solo funciona para valores que pueden ser números enteros.