リソース: TlsInspectionPolicy
TlsInspectionPolicy リソースには、Certificate Authority Service の CA プールと関連メタデータへの参照が含まれています。
| JSON 表現 |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
| フィールド | |
|---|---|
name |
必須。リソースの名前。名前は projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy} の形式です。tlsInspectionPolicy は、パターン (^a-z?$) に一致する必要があります。 |
description |
省略可。フリーテキストでのリソースの説明。 |
createTime |
出力専用。リソース作成時のタイムスタンプ。 RFC3339 UTC「Zulu」形式のタイムスタンプ。精度はナノ秒まで、小数点以下は最大 9 桁。例: |
updateTime |
出力専用。リソース更新時のタイムスタンプ。 RFC3339 UTC「Zulu」形式のタイムスタンプ。精度はナノ秒まで、小数点以下は最大 9 桁。例: |
caPool |
必須。インターセプト証明書の発行に使用される CA プール リソース。CA プール文字列には、「projects/{project}/locations/{location}/caPools/{caPool}」という形式の相対リソースパスがあります。 |
trustConfig |
省略可。TLS サーバーに接続するときに使用される TrustConfig リソース。これは、「projects/{project}/locations/{location}/trustConfigs/{trustConfig}」形式の相対リソースパスです。これは、非公開 CA または自己署名証明書によって署名された証明書を使用するサーバーへの TLS 接続をインターセプトするために必要です。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
minTlsVersion |
省略可。クライアントとサーバーの両方との接続をネゴシエートする際にファイアウォールが使用する TLS の最小バージョン。設定されていない場合、デフォルト値は、最も広範なクライアントとサーバー(TLS 1.0 以上)を許可します。より制限的な値を設定するとセキュリティは向上しますが、ファイアウォールが一部のクライアントやサーバーに接続できなくなる可能性もあります。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
tlsFeatureProfile |
省略可。選択したプロファイル。設定されていない場合、デフォルト値は最も広範な一連のクライアントとサーバー(「PROFILE_COMPATIBLE」)を許可します。より制限的な値に設定するとセキュリティが強化されますが、TLS インスペクション プロキシが一部のクライアントやサーバーに接続できなくなる可能性があります。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
customTlsFeatures[] |
省略可。選択したカスタム TLS 暗号スイートのリスト。このフィールドは、選択した tlsFeatureProfile が CUSTOM の場合にのみ有効です。[compute.SslPoliciesService.ListAvailableFeatures][] メソッドは、このリストで指定できる一連の機能を返します。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
excludePublicCaSet |
省略可。FALSE(デフォルト)の場合、trustConfig で指定された CA に加えて、デフォルトの公開 CA セットが使用されます。これらの公開 CA は現在 Mozilla Root Program に基づいており、今後変更される可能性があります。TRUE の場合、デフォルトの公開 CA セットを受け入れません。trustConfig で指定された CA のみが受け入れられます。下位互換性のために、デフォルトでは FALSE(trustConfig に加えてパブリック CA を使用)に設定されていますが、問題のトラフィックがパブリック ウェブサーバーに送信される場合を除き、パブリック ルート CA を信頼することは推奨されません。可能であれば、この値を「false」に設定し、信頼できる CA と証明書を TrustConfig で明示的に指定することをおすすめします。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
TlsVersion
クライアントまたはサーバーが TLS インスペクション プロキシとの接続を確立するために使用できる TLS プロトコルの最小バージョン。
| 列挙型 | |
|---|---|
TLS_VERSION_UNSPECIFIED |
TLS バージョンが指定されていないことを示します。 |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
プロフィール
Profile は、ファイアウォールがクライアントやサーバーと TLS 接続をネゴシエートする際に使用できる、TLS 暗号スイートのセット(今後は他の特徴が追加される可能性もあります)を指定します。これらのフィールドの意味は、ロードバランサの SSLPolicy リソースと同じです。
| 列挙型 | |
|---|---|
PROFILE_UNSPECIFIED |
プロファイルが指定されていないことを示します。 |
PROFILE_COMPATIBLE |
互換性のあるプロファイル。古い SSL 機能のみをサポートするクライアントを含む、TLS 検査プロキシとネゴシエートする最も幅広いクライアントのセットを許可します。 |
PROFILE_MODERN |
最新のプロファイル。幅広い SSL 機能をサポートし、最新のクライアントが TLS 検査プロキシと SSL をネゴシエートできるようにします。 |
PROFILE_RESTRICTED |
制限付きプロファイル厳しいコンプライアンス要件を満たす限定された SSL 機能のみをサポートします。 |
PROFILE_CUSTOM |
カスタム プロファイル:SslPolicy の custom_features フィールドで指定された許可された SSL 機能セットのみを許可します。 |
メソッド |
|
|---|---|
|
指定されたプロジェクトとロケーションで新しい TlsInspectionPolicy を作成します。 |
|
1 つの TlsInspectionPolicy を削除します。 |
|
1 つの TlsInspectionPolicy の詳細情報を取得します。 |
|
指定されたプロジェクトとロケーションの TlsInspectionPolicies を一覧で表示します。 |
|
単一の TlsInspectionPolicies のパラメータを更新します。 |