REST Resource: projects.locations.authorizationPolicies

Ressource: AuthorizationPolicy

AuthorizationPolicy est une ressource qui spécifie la manière dont un serveur doit autoriser les connexions entrantes. Cette ressource elle-même ne modifie pas la configuration, sauf si elle est associée à un proxy HTTPS cible ou à une ressource de sélecteur de configuration de point de terminaison.

Représentation JSON
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "action": enum (Action),
  "rules": [
    {
      object (Rule)
    }
  ]
}
Champs
name

string

Obligatoire. Nom de la ressource AuthorizationPolicy. Il correspond au schéma projects/{project}/locations/{location}/authorizationPolicies/<authorizationPolicy>.

description

string

Facultatif. Description libre de la ressource.

createTime

string (Timestamp format)

Uniquement en sortie. Code temporel de la création de la ressource.

Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : "2014-10-02T15:01:23Z" et "2014-10-02T15:01:23.045123456Z".

updateTime

string (Timestamp format)

Uniquement en sortie. Code temporel de la mise à jour de la ressource.

Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : "2014-10-02T15:01:23Z" et "2014-10-02T15:01:23.045123456Z".

labels

map (key: string, value: string)

Facultatif. Ensemble de tags de libellé associés à la ressource AuthorizationPolicy.

Objet contenant une liste de paires "key": value. Exemple : { "name": "wrench", "mass": "1.3kg", "count": "3" }.

action

enum (Action)

Obligatoire. Action à effectuer lorsqu'une règle est mise en correspondance. Les valeurs possibles sont "ALLOW" ou "DENY".

rules[]

object (Rule)

Facultatif. Liste des règles à faire correspondre. Notez qu'au moins une des règles doit correspondre pour que l'action spécifiée dans le champ "action" soit effectuée. Une règle est une correspondance si une source et une destination correspondent. Si ce champ n'est pas renseigné, l'action spécifiée dans le champ action sera appliquée à chaque requête.

Action

Valeurs possibles qui définissent l'action à effectuer.

Enums
ACTION_UNSPECIFIED Valeur par défaut.
ALLOW Accordez l'accès.
DENY Refusez l'accès. Les règles de refus doivent être évitées, sauf si elles sont utilisées pour fournir une option par défaut "Tout refuser".

Règle

Spécification des règles.

Représentation JSON
{
  "sources": [
    {
      object (Source)
    }
  ],
  "destinations": [
    {
      object (Destination)
    }
  ]
}
Champs
sources[]

object (Source)

Facultatif. Liste des attributs de la source de trafic. Toutes les sources doivent correspondre. Une source est une correspondance si les principaux et les blocs d'adresses IP correspondent. Si ce champ n'est pas défini, l'action spécifiée dans le champ "action" sera appliquée sans aucune vérification de règle pour la source.

destinations[]

object (Destination)

Facultatif. Liste des attributs de la destination du trafic. Toutes les destinations doivent correspondre. Une destination correspond à une requête si elle correspond à tous les hôtes, ports, méthodes et en-têtes spécifiés. Si aucun protocole n'est défini, l'action spécifiée dans le champ "action" est appliquée sans aucune vérification de règle pour la destination.

Source

Spécification des attributs de la source de trafic.

Représentation JSON
{
  "principals": [
    string
  ],
  "ipBlocks": [
    string
  ]
}
Champs
principals[]

string

Facultatif. Liste des identités d'entités à faire correspondre pour l'autorisation. Au moins un compte principal doit correspondre. Chaque paire peut être une correspondance exacte, une correspondance de préfixe (par exemple, "namespace/*"), une correspondance de suffixe (par exemple, "*/service-account") ou une correspondance de présence "*". L'autorisation basée sur le nom d'entité principale sans validation de certificat (configurée par la ressource ServerTlsPolicy) est considérée comme non sécurisée.

ipBlocks[]

string

Facultatif. Liste des plages CIDR à faire correspondre en fonction de l'adresse IP source. Au moins un bloc d'adresses IP doit correspondre. Adresse IP unique (par exemple, "1.2.3.4") et CIDR (par exemple, "1.2.3.0/24") sont acceptés. L'autorisation basée uniquement sur l'adresse IP source doit être évitée. Les adresses IP des équilibreurs de charge ou des proxys doivent être considérées comme non fiables.

Destination

Spécification des attributs de destination du trafic.

Représentation JSON
{
  "hosts": [
    string
  ],
  "ports": [
    integer
  ],
  "methods": [
    string
  ],
  "httpHeaderMatch": {
    object (HttpHeaderMatch)
  }
}
Champs
hosts[]

string

Obligatoire. Liste des noms d'hôtes à faire correspondre. Correspond à l'en-tête ":authority" dans les requêtes HTTP. Au moins un hôte doit correspondre. Chaque hôte peut être une correspondance exacte, une correspondance de préfixe (par exemple, "mondomaine.*"), une correspondance de suffixe (par exemple, "*.monorg.com") ou une correspondance de présence (n'importe quelle) "*".

ports[]

integer (uint32 format)

Obligatoire. Liste des ports de destination à faire correspondre. Au moins un port doit correspondre.

methods[]

string

Facultatif. Liste des méthodes HTTP à mettre en correspondance. Au moins une méthode doit correspondre. Ne doit pas être défini pour les services gRPC.

httpHeaderMatch

object (HttpHeaderMatch)

Facultatif. Correspondance avec la paire clé-valeur dans l'en-tête HTTP. Fournit une correspondance flexible basée sur les en-têtes HTTP, pour des cas d'utilisation potentiellement avancés. Au moins un en-tête doit correspondre. Évitez d'utiliser des correspondances d'en-tête pour prendre des décisions d'autorisation, sauf si vous êtes sûr que les requêtes arrivent via un client ou un proxy de confiance.

HttpHeaderMatch

Spécification des attributs de correspondance des en-têtes HTTP.

Représentation JSON
{
  "headerName": string,

  // Union field type can be only one of the following:
  "regexMatch": string
  // End of list of possible types for union field type.
}
Champs
headerName

string

Obligatoire. Nom de l'en-tête HTTP à faire correspondre. Pour effectuer une correspondance avec l'autorité de la requête HTTP, utilisez un headerMatch avec le nom d'en-tête ":authority". Pour faire correspondre la méthode d'une requête, utilisez le nom d'en-tête ":method".

Champ d'union type.

type ne peut être qu'un des éléments suivants :

regexMatch

string

Obligatoire. La valeur de l'en-tête doit correspondre à l'expression régulière spécifiée dans regexMatch. Pour la grammaire des expressions régulières, consultez la page en.cppreference.com/w/cpp/regex/ecmascript. Pour la mise en correspondance avec un port spécifié dans la requête HTTP, utilisez un headerMatch avec headerName défini sur "Host" et une expression régulière qui répond au spécificateur de port de l'en-tête d'hôte RFC2616.

Méthodes

create

Crée une ressource AuthorizationPolicy dans un projet et un emplacement donnés.

delete

Supprime une seule stratégie AuthorizationPolicy.

get

Récupère les informations d'une seule AuthorizationPolicy.

getIamPolicy

Récupère la stratégie de contrôle d'accès d'une ressource.

list

Répertorie les règles AuthorizationPolicy d'un projet et d'un emplacement donnés.

patch

Met à jour les paramètres d'un seul objet AuthorizationPolicy.

setIamPolicy

Définit la stratégie de contrôle d'accès de la ressource spécifiée.

testIamPermissions

Renvoie les autorisations qu'un appelant a sur la ressource spécifiée.