Ressource: AuthorizationPolicy
AuthorizationPolicy est une ressource qui spécifie la manière dont un serveur doit autoriser les connexions entrantes. Cette ressource elle-même ne modifie pas la configuration, sauf si elle est associée à un proxy HTTPS cible ou à une ressource de sélecteur de configuration de point de terminaison.
Représentation JSON |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "action": enum ( |
Champs | |
---|---|
name |
Obligatoire. Nom de la ressource AuthorizationPolicy. Il correspond au schéma |
description |
Facultatif. Description libre de la ressource. |
createTime |
Uniquement en sortie. Code temporel de la création de la ressource. Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : |
updateTime |
Uniquement en sortie. Code temporel de la mise à jour de la ressource. Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : |
labels |
Facultatif. Ensemble de tags de libellé associés à la ressource AuthorizationPolicy. Objet contenant une liste de paires |
action |
Obligatoire. Action à effectuer lorsqu'une règle est mise en correspondance. Les valeurs possibles sont "ALLOW" ou "DENY". |
rules[] |
Facultatif. Liste des règles à faire correspondre. Notez qu'au moins une des règles doit correspondre pour que l'action spécifiée dans le champ "action" soit effectuée. Une règle est une correspondance si une source et une destination correspondent. Si ce champ n'est pas renseigné, l'action spécifiée dans le champ |
Action
Valeurs possibles qui définissent l'action à effectuer.
Enums | |
---|---|
ACTION_UNSPECIFIED |
Valeur par défaut. |
ALLOW |
Accordez l'accès. |
DENY |
Refusez l'accès. Les règles de refus doivent être évitées, sauf si elles sont utilisées pour fournir une option par défaut "Tout refuser". |
Règle
Spécification des règles.
Représentation JSON |
---|
{ "sources": [ { object ( |
Champs | |
---|---|
sources[] |
Facultatif. Liste des attributs de la source de trafic. Toutes les sources doivent correspondre. Une source est une correspondance si les principaux et les blocs d'adresses IP correspondent. Si ce champ n'est pas défini, l'action spécifiée dans le champ "action" sera appliquée sans aucune vérification de règle pour la source. |
destinations[] |
Facultatif. Liste des attributs de la destination du trafic. Toutes les destinations doivent correspondre. Une destination correspond à une requête si elle correspond à tous les hôtes, ports, méthodes et en-têtes spécifiés. Si aucun protocole n'est défini, l'action spécifiée dans le champ "action" est appliquée sans aucune vérification de règle pour la destination. |
Source
Spécification des attributs de la source de trafic.
Représentation JSON |
---|
{ "principals": [ string ], "ipBlocks": [ string ] } |
Champs | |
---|---|
principals[] |
Facultatif. Liste des identités d'entités à faire correspondre pour l'autorisation. Au moins un compte principal doit correspondre. Chaque paire peut être une correspondance exacte, une correspondance de préfixe (par exemple, "namespace/*"), une correspondance de suffixe (par exemple, "*/service-account") ou une correspondance de présence "*". L'autorisation basée sur le nom d'entité principale sans validation de certificat (configurée par la ressource ServerTlsPolicy) est considérée comme non sécurisée. |
ipBlocks[] |
Facultatif. Liste des plages CIDR à faire correspondre en fonction de l'adresse IP source. Au moins un bloc d'adresses IP doit correspondre. Adresse IP unique (par exemple, "1.2.3.4") et CIDR (par exemple, "1.2.3.0/24") sont acceptés. L'autorisation basée uniquement sur l'adresse IP source doit être évitée. Les adresses IP des équilibreurs de charge ou des proxys doivent être considérées comme non fiables. |
Destination
Spécification des attributs de destination du trafic.
Représentation JSON |
---|
{
"hosts": [
string
],
"ports": [
integer
],
"methods": [
string
],
"httpHeaderMatch": {
object ( |
Champs | |
---|---|
hosts[] |
Obligatoire. Liste des noms d'hôtes à faire correspondre. Correspond à l'en-tête ":authority" dans les requêtes HTTP. Au moins un hôte doit correspondre. Chaque hôte peut être une correspondance exacte, une correspondance de préfixe (par exemple, "mondomaine.*"), une correspondance de suffixe (par exemple, "*.monorg.com") ou une correspondance de présence (n'importe quelle) "*". |
ports[] |
Obligatoire. Liste des ports de destination à faire correspondre. Au moins un port doit correspondre. |
methods[] |
Facultatif. Liste des méthodes HTTP à mettre en correspondance. Au moins une méthode doit correspondre. Ne doit pas être défini pour les services gRPC. |
httpHeaderMatch |
Facultatif. Correspondance avec la paire clé-valeur dans l'en-tête HTTP. Fournit une correspondance flexible basée sur les en-têtes HTTP, pour des cas d'utilisation potentiellement avancés. Au moins un en-tête doit correspondre. Évitez d'utiliser des correspondances d'en-tête pour prendre des décisions d'autorisation, sauf si vous êtes sûr que les requêtes arrivent via un client ou un proxy de confiance. |
HttpHeaderMatch
Spécification des attributs de correspondance des en-têtes HTTP.
Représentation JSON |
---|
{ "headerName": string, // Union field |
Champs | |
---|---|
headerName |
Obligatoire. Nom de l'en-tête HTTP à faire correspondre. Pour effectuer une correspondance avec l'autorité de la requête HTTP, utilisez un headerMatch avec le nom d'en-tête ":authority". Pour faire correspondre la méthode d'une requête, utilisez le nom d'en-tête ":method". |
Champ d'union
|
|
regexMatch |
Obligatoire. La valeur de l'en-tête doit correspondre à l'expression régulière spécifiée dans regexMatch. Pour la grammaire des expressions régulières, consultez la page en.cppreference.com/w/cpp/regex/ecmascript. Pour la mise en correspondance avec un port spécifié dans la requête HTTP, utilisez un headerMatch avec headerName défini sur "Host" et une expression régulière qui répond au spécificateur de port de l'en-tête d'hôte RFC2616. |
Méthodes |
|
---|---|
|
Crée une ressource AuthorizationPolicy dans un projet et un emplacement donnés. |
|
Supprime une seule stratégie AuthorizationPolicy. |
|
Récupère les informations d'une seule AuthorizationPolicy. |
|
Récupère la stratégie de contrôle d'accès d'une ressource. |
|
Répertorie les règles AuthorizationPolicy d'un projet et d'un emplacement donnés. |
|
Met à jour les paramètres d'un seul objet AuthorizationPolicy. |
|
Définit la stratégie de contrôle d'accès de la ressource spécifiée. |
|
Renvoie les autorisations qu'un appelant a sur la ressource spécifiée. |