REST Resource: projects.locations.tlsInspectionPolicies

Ressource: TlsInspectionPolicy

La ressource TlsInspectionPolicy contient des références aux pools d'autorités de certification dans Certificate Authority Service et les métadonnées associées.

Représentation JSON
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "caPool": string,
  "trustConfig": string,
  "minTlsVersion": enum (TlsVersion),
  "tlsFeatureProfile": enum (Profile),
  "customTlsFeatures": [
    string
  ],
  "excludePublicCaSet": boolean
}
Champs
name

string

Obligatoire. Nom de la ressource. Le nom doit être au format projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}. tlsInspectionPolicy doit correspondre au format:(^a-z?$).

description

string

Facultatif. Description libre de la ressource.

createTime

string (Timestamp format)

Uniquement en sortie. Code temporel de la création de la ressource.

Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : "2014-10-02T15:01:23Z" et "2014-10-02T15:01:23.045123456Z".

updateTime

string (Timestamp format)

Uniquement en sortie. Code temporel de la mise à jour de la ressource.

Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : "2014-10-02T15:01:23Z" et "2014-10-02T15:01:23.045123456Z".

caPool

string

Obligatoire. Ressource de pool d'autorités de certification utilisée pour émettre des certificats d'interception. La chaîne du pool d'autorités de certification comporte un chemin de ressource relatif au format "projects/{project}/locations/{location}/caPools/{caPool}".

trustConfig

string

Facultatif. Ressource TrustConfig utilisée lors de la connexion au serveur TLS. Il s'agit d'un chemin de ressource relatif au format "projects/{project}/locations/{location}/trustConfigs/{trustConfig}". Cela est nécessaire pour intercepter les connexions TLS aux serveurs avec des certificats signés par une autorité de certification privée ou des certificats autosignés. Notez que le proxy Web sécurisé n'accepte pas encore ce champ.

minTlsVersion

enum (TlsVersion)

Facultatif. Version minimale de TLS que le pare-feu doit utiliser lors de la négociation de connexions avec les clients et les serveurs. Si cette valeur n'est pas définie, la valeur par défaut est d'autoriser le plus grand nombre possible de clients et de serveurs (TLS 1.0 ou version ultérieure). Définir cette valeur sur des valeurs plus restrictives peut améliorer la sécurité, mais peut également empêcher le pare-feu de se connecter à certains clients ou serveurs. Notez que le proxy Web sécurisé n'accepte pas encore ce champ.

tlsFeatureProfile

enum (Profile)

Facultatif. Profil sélectionné. Si ce paramètre n'est pas défini, la valeur par défaut est d'autoriser le plus grand nombre possible de clients et de serveurs ("PROFILE_COMPATIBLE"). Définir cette valeur sur des valeurs plus restrictives peut améliorer la sécurité, mais peut également empêcher le proxy d'inspection TLS de se connecter à certains clients ou serveurs. Notez que le proxy Web sécurisé n'accepte pas encore ce champ.

customTlsFeatures[]

string

Facultatif. Liste des suites de chiffrement TLS personnalisées sélectionnées. Ce champ n'est valide que si la valeur de tlsFeatureProfile est "CUSTOM". La méthode [compute.SslPoliciesService.ListAvailableFeatures][] renvoie l'ensemble des fonctionnalités pouvant être spécifiées dans cette liste. Notez que le proxy Web sécurisé n'accepte pas encore ce champ.

excludePublicCaSet

boolean

Facultatif. Si la valeur est FALSE (par défaut), utilisez notre ensemble par défaut d'autorités de certification publiques en plus des autorités de certification spécifiées dans trustConfig. Ces autorités de certification publiques sont actuellement basées sur le programme racine Mozilla et sont susceptibles d'évoluer au fil du temps. Si la valeur est "TRUE", n'acceptez pas notre ensemble par défaut d'autorités de certification publiques. Seules les autorités de certification spécifiées dans trustConfig seront acceptées. Par défaut, cette valeur est définie sur "FALSE" (utilisation d'autorités de certification publiques en plus de trustConfig) pour assurer la rétrocompatibilité. Toutefois, il est recommandé de ne pas faire confiance aux autorités de certification racine publiques, sauf si le trafic en question est sortant vers des serveurs Web publics. Dans la mesure du possible, définissez ce paramètre sur "false" et spécifiez explicitement les autorités de certification et les certificats approuvés dans une configuration de confiance. Notez que le proxy Web sécurisé n'accepte pas encore ce champ.

TlsVersion

Version minimale du protocole TLS que les clients ou les serveurs peuvent utiliser pour établir une connexion avec le proxy d'inspection TLS.

Enums
TLS_VERSION_UNSPECIFIED Indique qu'aucune version TLS n'a été spécifiée.
TLS_1_0 TLS 1.0
TLS_1_1 TLS 1.1
TLS_1_2 TLS 1.2
TLS_1_3 TLS 1.3

Profil

Le profil spécifie l'ensemble des suites de chiffrement TLS (et éventuellement d'autres fonctionnalités à l'avenir) que le pare-feu peut utiliser lors de la négociation de connexions TLS avec les clients et les serveurs. La signification de ces champs est identique à celle de la ressource SSLPolicy des équilibreurs de charge.

Enums
PROFILE_UNSPECIFIED Indique qu'aucun profil n'a été spécifié.
PROFILE_COMPATIBLE Profil compatible. Autorise l'ensemble le plus vaste de clients, y compris ceux qui n'acceptent que les fonctionnalités SSL obsolètes, à effectuer des négociations avec le proxy d'inspection TLS.
PROFILE_MODERN Profil moderne. Accepte un large éventail de fonctionnalités SSL, ce qui permet aux clients modernes d'effectuer des négociations SSL avec le proxy d'inspection TLS.
PROFILE_RESTRICTED Profil limité. Accepte un ensemble réduit de fonctionnalités SSL afin de répondre à des exigences de conformité plus strictes.
PROFILE_CUSTOM Profil personnalisé. N'autorisez que l'ensemble des fonctionnalités SSL autorisées spécifiées dans le champ "custom_features" de SslPolicy.

Méthodes

create

Crée une ressource TlsInspectionPolicy dans un projet et un emplacement donnés.

delete

Supprime une seule règle TlsInspectionPolicy.

get

Récupère les informations d'un seul objet TlsInspectionPolicy.

list

Répertorie les règles TlsInspectionPolicy d'un projet et d'un emplacement donnés.

patch

Met à jour les paramètres d'un seul objet TlsInspectionPolicy.