REST Resource: projects.locations.tlsInspectionPolicies

リソース: TlsInspectionPolicy

TlsInspectionPolicy リソースには、Certificate Authority Service の CA プールと関連するメタデータへの参照が含まれています。

JSON 表現
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "caPool": string,
  "trustConfig": string,
  "minTlsVersion": enum (TlsVersion),
  "tlsFeatureProfile": enum (Profile),
  "customTlsFeatures": [
    string
  ],
  "excludePublicCaSet": boolean
}
フィールド
name

string

必須。リソースの名前。名前は projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy} の形式です。tlsInspectionPolicy は、パターン (^a-z?$) に一致する必要があります。

description

string

省略可。フリーテキストでのリソースの説明。

createTime

string (Timestamp format)

出力専用。リソース作成時のタイムスタンプ。

RFC3339 UTC「Zulu」形式のタイムスタンプ。精度はナノ秒まで、小数点以下は最大 9 桁。例: "2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"

updateTime

string (Timestamp format)

出力専用。リソース最終更新時のタイムスタンプ。

RFC3339 UTC「Zulu」形式のタイムスタンプ。精度はナノ秒まで、小数点以下は最大 9 桁。例: "2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"

caPool

string

必須。インターセプト証明書の発行に使用する CA プールリソース。CA プール文字列には、「projects/{project}/locations/{location}/caPools/{caPool}」形式の相対リソースパスがあります。

trustConfig

string

省略可。TLS サーバーへの接続時に使用する TrustConfig リソース。これは、「projects/{project}/locations/{location}/trustConfigs/{trustConfig}」に続く相対リソースパスです。これは、プライベート CA によって署名された証明書または自己署名証明書を使用して、サーバーへの TLS 接続をインターセプトするために必要です。Secure Web Proxy では、まだこのフィールドは考慮されません。

minTlsVersion

enum (TlsVersion)

省略可。ファイアウォールがクライアントとサーバーの両方との接続をネゴシエートする際に使用する最小の TLS バージョン。設定されていない場合、デフォルト値は、最も幅広いクライアントとサーバー(TLS 1.0 以降)を許可します。より制限的な値を設定するとセキュリティは向上しますが、ファイアウォールが一部のクライアントやサーバーに接続できなくなる可能性もあります。Secure Web Proxy では、まだこのフィールドは考慮されません。

tlsFeatureProfile

enum (Profile)

省略可。選択したプロファイル。設定されていない場合、デフォルト値は、最も幅広いクライアントとサーバーのセットを許可します(「PROFILE_COMPATIBLE」)。より制限的な値に設定するとセキュリティが強化されますが、TLS インスペクション プロキシが一部のクライアントやサーバーに接続できなくなる可能性があります。Secure Web Proxy では、まだこのフィールドは考慮されません。

customTlsFeatures[]

string

省略可。選択したカスタム TLS 暗号スイートのリスト。このフィールドは、選択した tlsFeatureProfile が CUSTOM の場合にのみ有効です。[compute.SslPoliciesService.ListAvailableFeatures][] メソッドは、このリストで指定できる機能のセットを返します。Secure Web Proxy では、まだこのフィールドは考慮されません。

excludePublicCaSet

boolean

省略可。FALSE(デフォルト)の場合、trustConfig で指定された CA に加えて、デフォルトの公開 CA のセットを使用します。これらの公開 CA は現在、Mozilla Root Program をベースにしており、今後変更される可能性があります。TRUE の場合は、公開 CA のデフォルトのセットを受け入れません。trustConfig で指定された CA のみが受け入れられます。下位互換性のために、デフォルトでは FALSE(trustConfig に加えてパブリック CA を使用)に設定されていますが、問題のトラフィックがパブリック ウェブサーバーに送信される場合を除き、パブリック ルート CA を信頼することは推奨されません。可能であれば、これを「false」に設定し、信頼できる CA と証明書を TrustConfig で明示的に指定することをおすすめします。Secure Web Proxy では、まだこのフィールドは考慮されません。

TlsVersion

クライアントまたはサーバーが TLS 検査プロキシとの接続を確立するために使用できる、TLS プロトコルの最小バージョン。

列挙型
TLS_VERSION_UNSPECIFIED TLS バージョンが指定されていないことを示します。
TLS_1_0 TLS 1.0
TLS_1_1 TLS 1.1
TLS_1_2 TLS 1.2
TLS_1_3 TLS 1.3

プロフィール

Profile は、ファイアウォールがクライアントやサーバーと TLS 接続をネゴシエートする際に使用できる、TLS 暗号スイートのセット(今後は他の特徴が追加される可能性もあります)を指定します。これらのフィールドの意味は、ロードバランサの SSLPolicy リソースと同じです。

列挙型
PROFILE_UNSPECIFIED プロファイルが指定されていないことを示します。
PROFILE_COMPATIBLE 互換性のあるプロファイル。古い SSL 機能のみをサポートするクライアントを含む、TLS 検査プロキシとネゴシエートする最も幅広いクライアントのセットを許可します。
PROFILE_MODERN 最新のプロファイル。幅広い SSL 機能をサポートしており、最新のクライアントは TLS 検査プロキシと SSL をネゴシエートできます。
PROFILE_RESTRICTED 制限付きプロファイル厳しいコンプライアンス要件を満たす限定された SSL 機能のみをサポートします。
PROFILE_CUSTOM カスタム プロファイル:SslPolicy の custom_features フィールドで指定された、許可される SSL 機能のセットのみを許可します。

メソッド

create

指定されたプロジェクトとロケーションで新しい TlsInspectionPolicy を作成します。

delete

1 つの TlsInspectionPolicy を削除します。

get

1 つの TlsInspectionPolicy の詳細を取得します。

list

指定されたプロジェクトとロケーションの TlsInspectionPolicies を一覧で表示します。

patch

単一の TlsInspectionPolicies のパラメータを更新します。