Recurso: ClientTlsPolicy
ClientTlsPolicy es un recurso que especifica cómo un cliente debe autenticar conexiones a backends de un servicio. Este recurso no afecta la configuración, a menos que esté conectado a un recurso de servicio de backend.
Representación JSON |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "sni": string, "clientCertificate": { object ( |
Campos | |
---|---|
name |
Obligatorio. Nombre del recurso ClientTlsPolicy. Coincide con el patrón |
description |
Opcional. Descripción de texto libre del recurso. |
createTime |
Solo salida. Marca de tiempo cuando se creó el recurso. Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
updateTime |
Solo salida. La marca de tiempo de la actualización del recurso. Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
labels |
Opcional. Conjunto de etiquetas de etiqueta asociadas con el recurso. Un objeto que contiene una lista de pares |
sni |
Opcional. Es la cadena de indicación del nombre del servidor que se debe presentar al servidor durante el protocolo de enlace TLS. P. ej., "secure.example.com". |
clientCertificate |
Opcional. Define un mecanismo para aprovisionar la identidad del cliente (claves públicas y privadas) para la autenticación entre pares. La presencia de esto determina mTLS. |
serverValidationCa[] |
Opcional. Define el mecanismo de obtención del certificado de la autoridad certificadora para validar el certificado del servidor. Si está vacío, el cliente no valida el certificado del servidor. |
targets[] |
Opcional. Define una lista de objetivos para esta política. Un destino solo puede ser un BackendService y debe ser el nombre completamente calificado del BackendService, p.ej.: projects/xxx/backendServices/locations/global/xxx NOTA: ClientTlsPolicy y los BackendServices referenciados deben estar presentes en el mismo proyecto. Solo se usa para el producto Google Service Mesh (GSM). |
workloadContextSelectors[] |
Opcional. Selecciona la carga de trabajo en la que se debe aplicar la política a sus destinos. Una política sin un WorkloadContextSelector siempre debe aplicarse a sus destinos cuando no hay conflicto. Si hay varios WorkloadContextSelectors, la política se aplicará a todos los destinos si coincide con CUALQUIERA de los WorkloadContextSelectors. Por lo tanto, estos selectores se pueden combinar de forma O. Si hay varias ClientTlsPolicy orientadas al mismo BackendService, solo debe haber una ClientTlsPolicy vigente y la precedencia sea la siguiente: 1) ClientTlsPolicy con WorkloadsContextSelectors tendrá prioridad en primer lugar. 2) Si hay coincidencias múltiples ClientTlsPolicy con subnetContextSelectors, prevalecerá la primera creada. 3) Tendrá prioridad ClientTlsPolicy sin WorkloadsSelector. Por el momento, no se permiten varias ClientTlsPolicy sin WorkSelector sin el mismo backendService. NOTA: Solo para uso de GSM. |
subjectAltNames[] |
Opcional. Una lista de nombres alternativos para verificar la identidad del servidor en el certificado. Si se especifica, el cliente verificará que el nombre alternativo del asunto del certificado de servidor coincida con uno de los valores especificados. Si se especifica, esta lista anula el valor de subjectAltNames de BackendService.securitySettings.subjectAltNames[]. Los nombres de dominio pueden ser de concordancia exacta (p. ej., foo) o de sufijo (p. ej., foo* o foo/*). |
internalCaller |
Opcional. Una marca establecida para identificar los controladores internos Con esta configuración se activará una verificación de P4SA para validar que el emisor pertenece a P4SA de un servicio incluido en la lista de entidades permitidas, incluso si no se establecen otros campos opcionales. |
WorkloadContextSelector
Determina para qué cargas de trabajo se aplica una política.
Representación JSON |
---|
{
"metadataSelectors": [
{
object ( |
Campos | |
---|---|
metadataSelectors[] |
Obligatorio. Un mapa de los valores de etiquetas de metadatos que se usan para seleccionar cargas de trabajo. Si se proporcionan varios MetadataSelectors, todos ellos deben coincidir para que la política se aplique a esta carga de trabajo. Por lo tanto, estos selectores deben combinarse de forma AND. |
MetadataSelector
Este tipo de mensaje existe en lugar de usar un mapa para admitir campos adicionales en el futuro, como el de prioridad.
Representación JSON |
---|
{ "key": string, "value": string } |
Campos | |
---|---|
key |
Obligatorio. El campo de metadatos que se selecciona en |
value |
Obligatorio. El valor de este campo de metadatos que se comparará con |
Métodos |
|
---|---|
|
Crea una ClientTlsPolicy nueva en un proyecto y una ubicación determinados. |
|
Borra una sola ClientTlsPolicy. |
|
Obtiene detalles de una sola ClientTlsPolicy. |
|
Permite obtener la política de control de acceso de un recurso. |
|
Muestra una lista de ClientTlsPolicies en un proyecto y ubicación determinados. |
|
Actualiza los parámetros de una sola ClientTlsPolicy. |
|
Permite configurar la política de control de acceso en el recurso especificado. |
|
Permite mostrar los permisos que tiene un emisor para un recurso específico. |