REST Resource: projects.locations.tlsInspectionPolicies

Recurso: TlsInspectionPolicy

O recurso "TlsInspectionPolicy" contém referências a pools de ACs no serviço de autoridade certificadora e metadados associados.

Representação JSON
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "caPool": string,
  "trustConfig": string,
  "minTlsVersion": enum (TlsVersion),
  "tlsFeatureProfile": enum (Profile),
  "customTlsFeatures": [
    string
  ],
  "excludePublicCaSet": boolean
}
Campos
name

string

Obrigatório. Nome do recurso. O nome é do tipo projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy}. O tlsInspectionPolicy precisa corresponder ao padrão:(^a-z?$).

description

string

Opcional. Descrição em texto livre do recurso.

createTime

string (Timestamp format)

Apenas saída. O carimbo de data/hora em que o recurso foi criado.

Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: "2014-10-02T15:01:23Z" e "2014-10-02T15:01:23.045123456Z".

updateTime

string (Timestamp format)

Apenas saída. O carimbo de data/hora em que o recurso foi atualizado.

Um carimbo de data/hora no formato RFC3339 UTC "Zulu", com resolução de nanossegundos e até nove dígitos fracionários. Exemplos: "2014-10-02T15:01:23Z" e "2014-10-02T15:01:23.045123456Z".

caPool

string

Obrigatório. Um recurso de pool de CAs usado para emitir certificados de interceptação. A string do pool de ACs tem um caminho de recurso relativo no formato "projects/{project}/locations/{location}/caPools/{caPool}".

trustConfig

string

Opcional. Um recurso TrustConfig usado ao fazer uma conexão com o servidor TLS. Este é um caminho de recurso relativo que segue o formato "projects/{project}/locations/{location}/trustConfigs/{trustConfig}". Isso é necessário para interceptar conexões TLS em servidores com certificados assinados por uma AC particular ou autoassinados. Observe que o Secure Web Proxy ainda não respeita esse campo.

minTlsVersion

enum (TlsVersion)

Opcional. Versão mínima de TLS que o firewall precisa usar ao negociar conexões com clientes e servidores. Se não for definido, o valor padrão será permitir o conjunto mais amplo de clientes e servidores (TLS 1.0 ou mais recente). Definir esse valor para valores mais restritivos pode melhorar a segurança, mas também impedir que o firewall se conecte a alguns clientes ou servidores. Observe que o Secure Web Proxy ainda não respeita esse campo.

tlsFeatureProfile

enum (Profile)

Opcional. O perfil selecionado. Se não for definido, o valor padrão será permitir o maior conjunto de clientes e servidores ("PROFILE_COMPATIBLE"). Definir esse valor para valores mais restritivos pode melhorar a segurança, mas também pode impedir que o proxy de inspeção de TLS se conecte a alguns clientes ou servidores. O Secure Web Proxy ainda não aceita esse campo.

customTlsFeatures[]

string

Opcional. Lista de pacotes de criptografia TLS personalizados selecionados. Esse campo só é válido se o tlsFeatureProfile selecionado for CUSTOM. O método [compute.SslPoliciesService.ListAvailableFeatures][] retorna o conjunto de recursos que podem ser especificados nesta lista. Observe que o Secure Web Proxy ainda não respeita esse campo.

excludePublicCaSet

boolean

Opcional. Se for FALSE (o padrão), use nosso conjunto padrão de ACs públicas, além das ACs especificadas em trustConfig. Essas CAs públicas têm como base o Mozilla Root Program e estão sujeitas a alterações ao longo do tempo. Se TRUE, não aceite nosso conjunto padrão de CAs públicas. Somente ACs especificadas em trustConfig serão aceitas. O padrão é FALSE (usar ACs públicas além da trustConfig) para compatibilidade com versões anteriores, mas confiar em ACs raiz públicas não é recomendado, a menos que o tráfego em questão seja de saída para servidores da Web públicos. Quando possível, defina esse valor como "false" e especifique explicitamente as ACs e os certificados confiáveis em uma TrustConfig. O Secure Web Proxy ainda não aceita esse campo.

TlsVersion

A versão mínima do protocolo TLS que pode ser usada por clientes ou servidores para estabelecer uma conexão com o proxy de inspeção TLS.

Enums
TLS_VERSION_UNSPECIFIED Indica que nenhuma versão do TLS foi especificada.
TLS_1_0 TLS 1.0
TLS_1_1 TLS 1.1
TLS_1_2 TLS 1.2
TLS_1_3 TLS 1.3

Perfil

O perfil especifica o conjunto de conjuntos de criptografia TLS (e possivelmente outros recursos no futuro) que podem ser usados pelo firewall ao negociar conexões TLS com clientes e servidores. O significado desses campos é idêntico ao recurso SSLPolicy dos balanceadores de carga.

Enums
PROFILE_UNSPECIFIED Indica que nenhum perfil foi especificado.
PROFILE_COMPATIBLE Perfil compatível. Permite que o conjunto mais amplo de clientes, mesmo aqueles que aceitam apenas recursos SSL desatualizados, negociem com o proxy de inspeção TLS.
PROFILE_MODERN Perfil moderno. Dá suporte a um amplo conjunto de recursos de SSL, permitindo que clientes modernos negociem o SSL com o proxy de inspeção TLS.
PROFILE_RESTRICTED Perfil restrito. Dá suporte a menos recursos de SSL, destinados a cumprir requisitos de conformidade mais rigorosos.
PROFILE_CUSTOM Perfil personalizado. Permitir apenas o conjunto de recursos SSL permitidos especificados no campo custom_features da SslPolicy.

Métodos

create

Cria uma nova TlsInspectionPolicy em um projeto e local específicos.

delete

Exclui uma única TlsInspectionPolicy.

get

Recebe detalhes de uma única TlsInspectionPolicy.

list

Lista as políticas de TLS em um determinado projeto e local.

patch

Atualiza os parâmetros de uma única política de inspeção de TLS.