REST Resource: projects.locations.authorizationPolicies

Recurso: AuthorizationPolicy

AuthorizationPolicy é um recurso que especifica como um servidor deve autorizar conexões de entrada. Esse recurso em si não muda a configuração, a menos que esteja anexado a um proxy HTTPS de destino ou recurso de seletor de configuração de endpoint.

Representação JSON
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "action": enum (Action),
  "rules": [
    {
      object (Rule)
    }
  ]
}
Campos
name

string

Obrigatório. Nome do recurso AuthorizationPolicy. Ele corresponde ao padrão projects/{project}/locations/{location}/authorizationPolicies/<authorizationPolicy>.

description

string

Opcional. Descrição em texto livre do recurso.

createTime

string (Timestamp format)

Apenas saída. O carimbo de data/hora em que o recurso foi criado.

Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: "2014-10-02T15:01:23Z" e "2014-10-02T15:01:23.045123456Z".

updateTime

string (Timestamp format)

Apenas saída. O carimbo de data/hora em que o recurso foi atualizado.

Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: "2014-10-02T15:01:23Z" e "2014-10-02T15:01:23.045123456Z".

labels

map (key: string, value: string)

Opcional. Conjunto de tags de rótulo associadas ao recurso AuthorizationPolicy.

Um objeto com uma lista de pares "key": value. Exemplo: { "name": "wrench", "mass": "1.3kg", "count": "3" }.

action

enum (Action)

Obrigatório. A ação a ser tomada quando uma correspondência de regra for encontrada. Os valores possíveis são "ALLOW" ou "DENY".

rules[]

object (Rule)

Opcional. Lista de regras a serem atendidas. Pelo menos uma das regras precisa corresponder para que a ação especificada no campo "ação" seja realizada. Uma regra é uma correspondência se houver uma origem e um destino correspondentes. Se for deixado em branco, a ação especificada no campo action será aplicada a cada solicitação.

Ação

Valores possíveis que definem a ação a ser tomada.

Enums
ACTION_UNSPECIFIED Valor padrão.
ALLOW Conceda acesso.
DENY Negar acesso. Evite usar regras de negação, a menos que elas sejam usadas para fornecer uma alternativa padrão de "negar tudo".

Regra

Especificação de regras.

Representação JSON
{
  "sources": [
    {
      object (Source)
    }
  ],
  "destinations": [
    {
      object (Destination)
    }
  ]
}
Campos
sources[]

object (Source)

Opcional. Lista de atributos da origem de tráfego. Todas as origens precisam ser correspondentes. Uma origem é uma correspondência se os dois principais e os ipBlocks corresponderem. Se não for definido, a ação especificada no campo "ação" será aplicada sem nenhuma verificação de regra para a origem.

destinations[]

object (Destination)

Opcional. Lista de atributos para o destino do tráfego. Todos os destinos precisam ser correspondentes. Um destino é uma correspondência quando uma solicitação corresponde a todos os hosts, portas, métodos e cabeçalhos especificados. Se não for definido, a ação especificada no campo "ação" será aplicada sem nenhuma verificação de regra para o destino.

Origem

Especificação dos atributos da origem de tráfego.

Representação JSON
{
  "principals": [
    string
  ],
  "ipBlocks": [
    string
  ]
}
Campos
principals[]

string

Opcional. Lista de identidades de pares a serem verificadas para autorização. Pelo menos um principal precisa corresponder. Cada peer pode ser uma correspondência exata ou de prefixo (por exemplo, "namespace/*") ou de sufixo (por exemplo, "*/service-account") ou de presença "*". A autorização baseada no nome principal sem validação de certificado (configurada pelo recurso ServerTlsPolicy) é considerada não segura.

ipBlocks[]

string

Opcional. Lista de intervalos CIDR a serem correspondidos com base no endereço IP de origem. Pelo menos um bloco de IP precisa corresponder. Endereço IP único (por exemplo, "1.2.3.4") e CIDR (por exemplo, "1.2.3.0/24") são aceitos. A autorização com base apenas no IP de origem deve ser evitada. Os endereços IP de qualquer balanceador de carga ou proxy devem ser considerados não confiáveis.

Destino

Especificação dos atributos de destino do tráfego.

Representação JSON
{
  "hosts": [
    string
  ],
  "ports": [
    integer
  ],
  "methods": [
    string
  ],
  "httpHeaderMatch": {
    object (HttpHeaderMatch)
  }
}
Campos
hosts[]

string

Obrigatório. Lista de nomes de host a serem correspondidos. Corresponde ao cabeçalho ":authority" em solicitações HTTP. Pelo menos um host precisa corresponder. Cada host pode ser uma correspondência exata ou de prefixo (por exemplo, "mydomain.*"), de sufixo (por exemplo, "*.myorg.com") ou de presença (qualquer) "*".

ports[]

integer (uint32 format)

Obrigatório. Lista de portas de destino a serem correspondidas. Pelo menos uma porta precisa corresponder.

methods[]

string

Opcional. Uma lista de métodos HTTP a serem correspondidos. Pelo menos um método precisa corresponder. Não deve ser definido para serviços gRPC.

httpHeaderMatch

object (HttpHeaderMatch)

Opcional. Corresponde ao par de chave-valor no cabeçalho HTTP. Oferece uma correspondência flexível com base em cabeçalhos HTTP para casos de uso potencialmente avançados. Pelo menos um cabeçalho precisa corresponder. Evite usar correspondências de cabeçalho para tomar decisões de autorização, a menos que haja uma garantia de que as solicitações chegam por um cliente ou proxy confiável.

HttpHeaderMatch

Especificação dos atributos de correspondência de cabeçalhos HTTP.

Representação JSON
{
  "headerName": string,

  // Union field type can be only one of the following:
  "regexMatch": string
  // End of list of possible types for union field type.
}
Campos
headerName

string

Obrigatório. O nome do cabeçalho HTTP a ser correspondido. Para corresponder à autoridade da solicitação HTTP, use um headerMatch com o nome do cabeçalho ":authority". Para corresponder ao método de uma solicitação, use o headerName ":method".

Campo de união type.

type pode ser apenas de um dos tipos a seguir:

regexMatch

string

Obrigatório. O valor do cabeçalho precisa corresponder à expressão regular especificada em regexMatch. Para a gramática de expressão regular, consulte: en.cppreference.com/w/cpp/regex/ecmascript Para correspondência com uma porta especificada na solicitação HTTP, use um headerMatch com headerName definido como Host e uma expressão regular que atenda ao especificador de porta do cabeçalho Host do RFC2616.

Métodos

create

Cria uma nova AuthorizationPolicy em um determinado projeto e local.

delete

Exclui uma única AuthorizationPolicy.

get

Recebe detalhes de uma única AuthorizationPolicy.

getIamPolicy

Busca a política de controle de acesso de um recurso.

list

Lista as políticas de autorização em um determinado projeto e local.

patch

Atualiza os parâmetros de uma única AuthorizationPolicy.

setIamPolicy

Define a política de controle de acesso no recurso especificado.

testIamPermissions

Retorna permissões do autor da chamada no recurso especificado.