Ressource: ClientTlsPolicy
ClientTlsPolicy est une ressource qui spécifie la manière dont un client doit authentifier les connexions aux backends d'un service. Cette ressource elle-même n'affecte pas la configuration, sauf si elle est associée à une ressource de service de backend.
| Représentation JSON |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "sni": string, "clientCertificate": { object ( |
| Champs | |
|---|---|
name |
Obligatoire. Nom de la ressource ClientTlsPolicy. Il correspond au modèle |
description |
Facultatif. Description en texte libre de la ressource. |
createTime |
Uniquement en sortie. Code temporel de la création de la ressource. Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : |
updateTime |
Uniquement en sortie. Code temporel de la mise à jour de la ressource. Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : |
labels |
Facultatif. Ensemble de tags d'étiquettes associés à la ressource. Objet contenant une liste de paires |
sni |
Facultatif. Chaîne d'indication du nom du serveur à présenter au serveur lors du handshake TLS. Exemple: "secure.example.com". |
clientCertificate |
Facultatif. Définit un mécanisme permettant de fournir l'identité du client (clés publiques et privées) pour l'authentification peer-to-peer. La présence de cela impose l'authentification mTLS. |
serverValidationCa[] |
Facultatif. Définit le mécanisme permettant d'obtenir le certificat de l'autorité de certification pour valider le certificat du serveur. Si ce champ est vide, le client ne valide pas le certificat du serveur. |
targets[] |
Facultatif. Définissez la liste des cibles que cette règle doit cibler. Une cible ne peut être qu'un objet BackendService.Il doit s'agir du nom complet du BackendService (par exemple, projects/xxx/backendServices/locations/global/xxx). REMARQUE : ClientTlsPolicy et les BackendServices référencés doivent être présents dans le même projet. Il n'est utilisé que pour le produit Google Service Mesh (GSM). |
workloadContextSelectors[] |
Facultatif. Sélectionne la charge de travail pour laquelle la règle doit être appliquée à ses cibles. Une règle sans WorkloadContextSelector doit toujours être appliquée à ses cibles en l'absence de conflit. S'il existe plusieurs WorkloadContextSelector, la règle sera appliquée à toutes les cibles si l'UN d'entre eux correspond. Ces sélecteurs peuvent donc être combinés à l'aide de l'opérateur OR. Si plusieurs ClientTlsPolicy sont ciblés sur le même BackendService, il ne devrait y avoir qu'un seul ClientTlsPolicy effectif, et la priorité est la suivante: 1) La stratégie ClientTlsPolicy avec des objetsloadContextSelector prévaut en premier. 2) Si plusieurs ClientTlsPolicy correspondent à des objets loadContextSelector, le premier créé est prioritaire. 3) La règle ClientTlsPolicy sans charge de travail Sélecteur sera prioritaire. Pour le moment, nous n'autorisons pas l'utilisation de plusieurs ClientTlsPolicy sans charge de travail à associer au même backendService. REMARQUE: Pour une utilisation GSM uniquement. |
subjectAltNames[] |
Facultatif. Liste de noms alternatifs permettant de vérifier l'identité du serveur dans le certificat. S'il est spécifié, le client vérifiera que le nom d'objet du certificat du serveur correspond à l'une des valeurs spécifiées. Si elle est spécifiée, cette liste remplace la valeur de subjectAltNames à partir de BackendService.securitySettings.subjectAltNames[]. Les noms de domaine peuvent être des correspondances exactes (par exemple, foo) ou des correspondances de suffixe (par exemple, foo* ou foo/*). |
internalCaller |
Facultatif. Indicateur défini pour identifier les contrôleurs internes. Ce paramètre déclenche une vérification P4SA pour vérifier que l'appelant provient du P4SA d'un service figurant sur la liste d'autorisation, même si d'autres champs facultatifs ne sont pas définis. |
WorkloadContextSelector
Détermine les charges de travail auxquelles une stratégie s'applique.
| Représentation JSON |
|---|
{
"metadataSelectors": [
{
object ( |
| Champs | |
|---|---|
metadataSelectors[] |
Obligatoire. Mappage des valeurs d'étiquettes de métadonnées permettant de sélectionner des charges de travail. Si plusieurs objets MetadataSelector sont fournis, ils doivent tous correspondre pour que la règle soit appliquée à cette charge de travail. Ces sélecteurs doivent donc être combinés selon un opérateur ET. |
MetadataSelector
Ce type de message existe par opposition à l'utilisation d'un mappage pour prendre en charge d'autres champs à l'avenir tels que la priorité.
| Représentation JSON |
|---|
{ "key": string, "value": string } |
| Champs | |
|---|---|
key |
Obligatoire. Le champ de métadonnées sélectionné |
value |
Obligatoire. Valeur de ce champ de métadonnées à comparer à |
Méthodes |
|
|---|---|
|
Crée un ClientTlsPolicy dans un projet et un emplacement donnés. |
|
Supprime une seule stratégie ClientTlsPolicy. |
|
Récupère les détails d'un seul ClientTlsPolicy. |
|
Récupère la stratégie de contrôle d'accès d'une ressource. |
|
Répertorie les ClientTlsPolicies dans un projet et un emplacement donnés. |
|
Met à jour les paramètres d'un seul ClientTlsPolicy. |
|
Définit la stratégie de contrôle d'accès de la ressource spécifiée. |
|
Renvoie les autorisations qu'un appelant a sur la ressource spécifiée. |