REST Resource: projects.locations.tlsInspectionPolicies

资源:TlsInspectionPolicy

TlsInspectionPolicy 资源包含对 Certificate Authority Service 中的 CA 池和所关联元数据的引用。

JSON 表示法
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "caPool": string,
  "trustConfig": string,
  "minTlsVersion": enum (TlsVersion),
  "tlsFeatureProfile": enum (Profile),
  "customTlsFeatures": [
    string
  ],
  "excludePublicCaSet": boolean
}
字段
name

string

必需。资源的名称。名称格式为:projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy},其中 tlsInspectionPolicy 应匹配以下模式:(^a-z?$)。

description

string

可选。资源的自由文本说明。

createTime

string (Timestamp format)

仅限输出。创建资源时的时间戳。

时间戳采用 RFC3339 世界协调时间(UTC,即“祖鲁时”)格式,精确到纳秒,最多九个小数位。示例:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"

updateTime

string (Timestamp format)

仅限输出。更新资源时的时间戳。

时间戳采用 RFC3339 世界协调时间(UTC,即“祖鲁时”)格式,精确到纳秒,最多九个小数位。示例:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"

caPool

string

必需。用于颁发拦截证书的 CA 池资源。CA 池字符串具有采用“projects/{project}/locations/{location}/caPools/{caPool}”格式的相对资源路径。

trustConfig

string

可选。用于与 TLS 服务器建立连接时的 TrustConfig 资源。这是一个相对资源路径,采用“projects/{project}/locations/{location}/trustConfigs/{trustConfig}”格式。这对于拦截使用由私有 CA 签名的证书或自签名证书的服务器的 TLS 连接是必要的。请注意,安全 Web 代理尚不支持此字段。

minTlsVersion

enum (TlsVersion)

可选。防火墙在同时与客户端和服务器协商连接时应使用的最低 TLS 版本。如果未设置此值,则默认值为允许数量最多的客户端和服务器(TLS 1.0 或更高版本)。将此值设置为更严格的值可能会提高安全性,但也可能会阻止防火墙连接到某些客户端或服务器。请注意,安全 Web 代理尚不支持此字段。

tlsFeatureProfile

enum (Profile)

可选。所选配置文件。如果未设置此值,则默认值为允许数量最多的客户端和服务器(“PROFILE_COMPATIBLE”)。将此值设置为更严格的值可能会提高安全性,但也可能会阻止 TLS 检查代理连接到某些客户端或服务器。请注意,安全 Web 代理尚不支持此字段。

customTlsFeatures[]

string

可选。所选的自定义 TLS 加密套件列表。只有当所选 tlsFeatureProfile 为 CUSTOM 时,此字段才有效。[compute.SslPoliciesService.ListAvailableFeatures][] 方法会返回可在此列表中指定的一组功能。请注意,安全 Web 代理尚不支持此字段。

excludePublicCaSet

boolean

可选。如果为 FALSE(默认值),除了 trustConfig 中指定的任何 CA 之外,还会使用默认的公共 CA 集。这些公共 CA 目前基于 Mozilla 根证书计划,可能会随时间而发生变化。如果为 TRUE,则表示不接受我们的默认公共 CA 集。系统仅接受 trustConfig 中指定的 CA。此值默认为 FALSE(除了 trustConfig 之外,还使用公共 CA),以实现向后兼容性,但不建议信任公共根 CA,除非相关流量是流向公共网络服务器的出站流量。如果可能,最好将此值设置为“false”,并在 TrustConfig 中明确指定受信任的 CA 和证书。请注意,安全 Web 代理尚不支持此字段。

TlsVersion

客户端或服务器可用于与 TLS 检查代理建立连接的最低 TLS 协议版本。

枚举
TLS_VERSION_UNSPECIFIED 表示未指定 TLS 版本。
TLS_1_0 TLS 1.0
TLS_1_1 TLS 1.1
TLS_1_2 TLS 1.2
TLS_1_3 TLS 1.3

配置文件

配置文件指定了防火墙在与客户端和服务器协商 TLS 连接时可使用的 TLS 加密套件(以及未来可能的其他功能)集。这些字段的含义与负载均衡器的 SSLPolicy 资源相同。

枚举
PROFILE_UNSPECIFIED 表示未指定任何配置文件。
PROFILE_COMPATIBLE 兼容配置文件。可让数量最多的客户端(甚至仅支持已过时的 SSL 功能的客户端)与 TLS 检查代理协商。
PROFILE_MODERN 新型配置文件。支持大量 SSL 功能,可让新型客户端与 TLS 检查代理协商 SSL。
PROFILE_RESTRICTED 受限配置文件:支持的 SSL 功能较少,旨在满足更严格的合规要求。
PROFILE_CUSTOM 自定义配置文件。仅允许 SslPolicy 的 custom_features 字段中指定的一组允许的 SSL 功能。

方法

create

在给定的项目和位置中创建新 TlsInspectionPolicy。

delete

删除单个 TlsInspectionPolicy。

get

获取单个 TlsInspectionPolicy 的详细信息。

list

列出给定项目和位置中的 TlsInspectionPolicy。

patch

更新单个 TlsInspectionPolicy 的参数。