REST Resource: projects.locations.serverTlsPolicies

リソース: ServerTlsPolicy

ServerTlsPolicy は、サーバーの受信リクエストの認証方法を指定するリソースです。このリソースは、ターゲット HTTPS プロキシまたはエンドポイントの構成セレクタのリソースに接続されていない限り、構成には影響しません。

アプリケーション ロードバランサで受け入れられる形式の ServerTlsPolicy は、EXTERNALEXTERNAL_MANAGED、または INTERNAL_MANAGED のロード バランシング スキームを持つ TargetHttpsProxy にのみ適用できます。Traffic Director 互換の ServerTlsPolicy は、Traffic Director INTERNAL_SELF_MANAGED ロード バランシング スキームを持つ EndpointPolicy と TargetHttpsProxy に接続できます。

JSON 表現 
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "allowOpen": boolean,
  "serverCertificate": {
    object (CertificateProvider)
  },
  "mtlsPolicy": {
    object (MTLSPolicy)
  }
}
フィールド
name

string

必須。ServerTlsPolicy リソースの名前。パターン projects/*/locations/{location}/serverTlsPolicies/{serverTlsPolicy} と一致
description

string

フリーテキストでのリソースの説明。
createTime

string (Timestamp format)

出力専用。リソース作成時のタイムスタンプ。

RFC3339 UTC「Zulu」形式のタイムスタンプ。精度はナノ秒まで、小数点以下は最大 9 桁。例: "2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"
updateTime

string (Timestamp format)

出力専用。リソース更新時のタイムスタンプ。

RFC3339 UTC「Zulu」形式のタイムスタンプ。精度はナノ秒まで、小数点以下は最大 9 桁。例: "2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"
labels

map (key: string, value: string)

ゲートウェイ リソースに関連付けられたラベルタグのセット。

"key": value ペアのリストを含むオブジェクト。例: { "name": "wrench", "mass": "1.3kg", "count": "3" }
allowOpen

boolean

このフィールドは Traffic Director ポリシーにのみ適用されます。アプリケーション ロードバランサ ポリシーの場合は false に設定する必要があります。

書式なしテキスト接続をサーバーが許可するかどうかを指定しますtrue に設定すると、サーバーは書式なしテキスト接続を許可します。デフォルトでは false に設定されています。この設定は、他の暗号化モードを排除するものではありません。たとえば、allowOpenmtlsPolicy が設定されている場合、サーバーは書式なしテキスト接続と mTLS 接続の両方を許可します。互換性を確認するには、他の暗号化モードのドキュメントをご覧ください。

ポート :80 に到達する TLS トラフィックと TLS 以外のトラフィックを混在させながら、デプロイを TLS にインプレースでアップグレードする場合は、この方法の使用を検討してください。
serverCertificate

object (CertificateProvider)

ポリシーを Traffic Director で使用する場合は省略可能です。アプリケーション ロードバランサの場合は空にする必要があります。

サーバー ID(公開鍵と秘密鍵)をプロビジョニングするメカニズムを定義します。allowOpen と組み合わせることはできません。書式なしテキストと TLS の両方を許可する制約なしモードはサポートされていないためです。
mtlsPolicy

object (MTLSPolicy)

ポリシーをアプリケーション ロードバランサで使用する場合、このフィールドは必須です。Traffic Director の場合、このフィールドは空白にできます。

ピアツーピア認証(相互 TLS - mTLS)用のピア検証証明書をプロビジョニングするメカニズムを定義します。指定しない場合、クライアント証明書はリクエストされません。接続は mTLS ではなく TLS として扱われます。allowOpenmtlsPolicy が設定されている場合、サーバーは書式なしテキスト接続と mTLS 接続の両方を許可します。

MTLSPolicy

MTLSPolicy の仕様。

JSON 表現 
{
  "clientValidationMode": enum (ClientValidationMode),
  "clientValidationCa": [
    {
      object (ValidationCA)
    }
  ],
  "clientValidationTrustConfig": string
}
フィールド
clientValidationMode

enum (ClientValidationMode)

クライアントがロードバランサに無効な証明書を提示するか、証明書を提示しない場合は、clientValidationMode でクライアント接続の処理方法を指定します。

ポリシーをアプリケーション ロードバランサで使用する場合は必須です。Traffic Director の場合は空にする必要があります。
clientValidationCa[]

object (ValidationCA)

ポリシーを Traffic Director で使用する場合は必須です。アプリケーション ロードバランサの場合は空にする必要があります。

クライアント証明書を検証するための Certificate Authority 証明書を取得するメカニズムを定義します。
clientValidationTrustConfig

string

certificatemanager.googleapis.com 名前空間から TrustConfig への参照。

指定した場合、チェーン検証は、指定された TrustConfig で構成された証明書に対して実行されます。

ポリシーをアプリケーション ロードバランサで使用する場合にのみ許可されます。

ClientValidationMode

相互 TLS 証明書の検証モード。

列挙型
CLIENT_VALIDATION_MODE_UNSPECIFIED 許可されていません。
ALLOW_INVALID_OR_MISSING_CLIENT_CERT クライアント証明書の証明書チェーン検証が失敗した場合や、クライアント証明書が提示されていない場合でも、接続が許可されます。クライアント証明書が提供されたときに、秘密鍵の所有者証明が常にチェックされます。このモードでは、バックエンドがクライアント証明書から抽出したデータの処理を実装してピアを認証するか、クライアント証明書フィンガープリントが欠落している場合は接続を拒否する必要があります。
REJECT_INVALID

クライアント証明書を必須とし、クライアント証明書の検証に合格した場合にのみ、バックエンドへの接続を許可します。

設定する場合は、clientValidationTrustConfig で指定された空でない TrustConfig への参照が必要です。

メソッド

create

 指定されたプロジェクトとロケーションで新しい ServerTlsPolicy を作成します。

delete

 1 つの ServerTlsPolicy を削除します。

get

 1 つの ServerTlsPolicy の詳細情報を取得します。

getIamPolicy

 リソースのアクセス制御ポリシーを取得します。

list

 指定されたプロジェクトとロケーションの ServerTlsPolicies を一覧表示します。

patch

 単一の ServerTlsPolicy のパラメータを更新します。

setIamPolicy

 指定したリソースにアクセス制御ポリシーを設定します。

testIamPermissions

 指定したリソースに対して呼び出し元が持っている権限を返します。