REST Resource: projects.locations.authorizationPolicies

Recurso: AuthorizationPolicy

AuthorizationPolicy es un recurso que especifica cómo un servidor debe autorizar las conexiones entrantes. Este recurso no cambia la configuración, a menos que esté conectado a un proxy HTTPS de destino o a un recurso selector de configuración de extremo.

Representación JSON 
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "labels": {
    string: string,
    ...
  },
  "action": enum (Action),
  "rules": [
    {
      object (Rule)
    }
  ]
}
Campos
name

string

Obligatorio. Es el nombre del recurso AuthorizationPolicy. Coincide con el patrón projects/{project}/locations/{location}/authorizationPolicies/<authorizationPolicy>.
description

string

Opcional. Es una descripción de texto libre del recurso.
createTime

string (Timestamp format)

Solo salida. Marca de tiempo cuando se creó el recurso.

Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: "2014-10-02T15:01:23Z" y "2014-10-02T15:01:23.045123456Z".
updateTime

string (Timestamp format)

Solo salida. La marca de tiempo cuando se creó el recurso.

Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: "2014-10-02T15:01:23Z" y "2014-10-02T15:01:23.045123456Z".
labels

map (key: string, value: string)

Opcional. Es un conjunto de etiquetas asociadas con el recurso AuthorizationPolicy.

Un objeto que contiene una lista de pares "key": value. Ejemplo: { "name": "wrench", "mass": "1.3kg", "count": "3" }.
action

enum (Action)

Obligatorio. Es la acción que se debe realizar cuando se encuentra una coincidencia de regla. Los valores posibles son "ALLOW" o "DENY".
rules[]

object (Rule)

Opcional. Es la lista de reglas que deben coincidir. Ten en cuenta que al menos una de las reglas debe coincidir para que se realice la acción especificada en el campo "acción". Una regla es una coincidencia si hay una fuente y un destino que coinciden. Si se deja en blanco, la acción especificada en el campo action se aplicará en cada solicitud.

Acción

Son los valores posibles que definen qué acción se debe realizar.

Enums
ACTION_UNSPECIFIED Valor predeterminado
ALLOW Otorga acceso.
DENY Negar el acceso Se deben evitar las reglas de denegación, a menos que se usen para proporcionar un resguardo predeterminado de “rechazar todo”.

Regla

Especificación de reglas.

Representación JSON 
{
  "sources": [
    {
      object (Source)
    }
  ],
  "destinations": [
    {
      object (Destination)
    }
  ]
}
Campos
sources[]

object (Source)

Opcional. Es la lista de atributos de la fuente de tráfico. Todas las fuentes deben coincidir. Una fuente es una coincidencia si coinciden los principales y los ipBlocks. Si no se establece, se aplicará la acción especificada en el campo "acción" sin ninguna verificación de reglas para la fuente.
destinations[]

object (Destination)

Opcional. Es la lista de atributos del destino de tráfico. Todos los destinos deben coincidir. Un destino coincide si una solicitud coincide con todos los hosts, puertos, métodos y encabezados especificados. Si no se establece, se aplicará la acción especificada en el campo "action" sin ninguna verificación de reglas para el destino.

Fuente

Especificación de los atributos de la fuente de tráfico

Representación JSON 
{
  "principals": [
    string
  ],
  "ipBlocks": [
    string
  ]
}
Campos
principals[]

string

Opcional. Es la lista de identidades de intercambio de tráfico que deben coincidir para la autorización. Al menos un principal debe coincidir. Cada par puede ser una coincidencia exacta, una coincidencia de prefijo (por ejemplo, "namespace/*"), una coincidencia de sufijo (por ejemplo, "*/service-account") o una coincidencia de presencia "*". La autorización basada en el nombre principal sin validación de certificados (configurada por el recurso ServerTlsPolicy) se considera insegura.
ipBlocks[]

string

Opcional. Es una lista de rangos de CIDR que se deben hacer coincidir según la dirección IP de origen. Al menos un bloque de IP debe coincidir. IP única (p.ej., “1.2.3.4”) y CIDR (p.ej., "1.2.3.0/24"). Se debe evitar la autorización basada solo en la IP de origen. Las direcciones IP de los balanceadores de cargas o proxies deben considerarse no confiables.

Destino

Especificación de los atributos de destino del tráfico

Representación JSON 
{
  "hosts": [
    string
  ],
  "ports": [
    integer
  ],
  "methods": [
    string
  ],
  "httpHeaderMatch": {
    object (HttpHeaderMatch)
  }
}
Campos
hosts[]

string

Obligatorio. Es una lista de nombres de host que deben coincidir. Coincide con el encabezado ":authority" en las solicitudes HTTP. Debe coincidir al menos un host. Cada host puede ser una concordancia exacta, de prefijo (por ejemplo, "midominio.*"), de sufijo (por ejemplo, "*.miorg.com") o de presencia (cualquiera) "*".
ports[]

integer (uint32 format)

Obligatorio. Es la lista de puertos de destino que deben coincidir. Al menos un puerto debe coincidir.
methods[]

string

Opcional. Es una lista de métodos HTTP con los que se establece la coincidencia. Debe coincidir al menos un método. No se debe configurar para los servicios de gRPC.
httpHeaderMatch

object (HttpHeaderMatch)

Opcional. Realiza una coincidencia con el par clave:valor en el encabezado HTTP. Proporciona una coincidencia flexible basada en encabezados HTTP para casos de uso potencialmente avanzados. Al menos un encabezado debe coincidir. Evita usar coincidencias de encabezados para tomar decisiones de autorización, a menos que haya una garantía sólida de que las solicitudes lleguen a través de un cliente o proxy de confianza.

HttpHeaderMatch

Especificación de los atributos de coincidencia de encabezados HTTP.

Representación JSON 
{
  "headerName": string,

  // Union field type can be only one of the following:
  "regexMatch": string
  // End of list of possible types for union field type.
}
Campos
headerName

string

Obligatorio. Es el nombre del encabezado HTTP que debe coincidir. Para hacer coincidir la autoridad de la solicitud HTTP, usa un headerMatch con el nombre de encabezado ":authority". Para hacer coincidir el método de una solicitud, usa el headerName ":method".

Campo de unión type.

type puede ser una de las siguientes opciones:
regexMatch

string

Obligatorio. El valor del encabezado debe coincidir con la expresión regular especificada en regexMatch. Para la gramática de expresiones regulares, consulta: en.cppreference.com/w/cpp/regex/ecmascript. Para hacer coincidir un puerto especificado en la solicitud HTTP, usa un headerMatch con headerName establecido en Host y una expresión regular que satisfaga el especificador de puerto del encabezado Host de RFC2616.

Métodos

create

 Crea una nueva AuthorizationPolicy en un proyecto y una ubicación determinados.

delete

 Borra una sola AuthorizationPolicy.

get

 Obtiene los detalles de una sola AuthorizationPolicy.

getIamPolicy

 Permite obtener la política de control de acceso de un recurso.

list

 Enumera AuthorizationPolicies en una ubicación y un proyecto determinados.

patch

 Actualiza los parámetros de una sola AuthorizationPolicy.

setIamPolicy

 Permite configurar la política de control de acceso en el recurso especificado.

testIamPermissions

 Permite mostrar los permisos que tiene un emisor para un recurso especificado.