REST Resource: projects.locations.tlsInspectionPolicies

资源:TlsInspectionPolicy

TlsInspectionPolicy 资源包含对 Certificate Authority Service 中的 CA 池和相关元数据的引用。

JSON 表示法 
{
  "name": string,
  "description": string,
  "createTime": string,
  "updateTime": string,
  "caPool": string,
  "trustConfig": string,
  "minTlsVersion": enum (TlsVersion),
  "tlsFeatureProfile": enum (Profile),
  "customTlsFeatures": [
    string
  ],
  "excludePublicCaSet": boolean
}
字段
name

string

必需。资源的名称。名称的格式为 projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy},其中 tlsInspectionPolicy 应与模式“(^a-z?$)”匹配。
description

string

可选。资源的自由文本说明。
createTime

string (Timestamp format)

仅限输出。创建资源时的时间戳。

时间戳采用 RFC3339 世界协调时间(UTC,即“祖鲁时”)格式,精确到纳秒,最多九个小数位。示例:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"
updateTime

string (Timestamp format)

仅限输出。更新资源时的时间戳。

时间戳采用 RFC3339 世界协调时间(UTC,即“祖鲁时”)格式,精确到纳秒,最多九个小数位。示例:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"
caPool

string

必需。用于颁发拦截证书的 CA 池资源。CA 池字符串的相对资源路径采用以下格式:“projects/{project}/locations/{location}/caPools/{caPool}”。
trustConfig

string

可选。与 TLS 服务器建立连接时使用的 TrustConfig 资源。这是一个采用以下格式的相对资源路径:“projects/{project}/locations/{location}/trustConfigs/{trustConfig}”。必须执行此操作,才能拦截使用由私有 CA 签名的证书或自签名证书的服务器的 TLS 连接。请注意,安全 Web 代理尚不支持此字段。
minTlsVersion

enum (TlsVersion)

可选。防火墙在与客户端和服务器协商连接时应使用的最低 TLS 版本。如果未设置此值,则默认值为允许最广泛的客户端和服务器(TLS 1.0 或更高版本)。将此值设置为更严格的值可能会提高安全性,但也可能会阻止防火墙连接到某些客户端或服务器。请注意,安全 Web 代理尚不支持此字段。
tlsFeatureProfile

enum (Profile)

可选。所选个人资料。如果未设置此属性,则默认值为允许最广泛的客户端和服务器(“PROFILE_COMPATIBLE”)。将此值设置为更严格的值可能会提高安全性,但也可能会阻止 TLS 检查代理连接到某些客户端或服务器。请注意,安全 Web 代理尚不支持此字段。
customTlsFeatures[]

string

可选。所选自定义 TLS 加密套件列表。只有当所选的 tlsFeatureProfile 为 CUSTOM 时,此字段才有效。[compute.SslPoliciesService.ListAvailableFeatures][] 方法会返回可在此列表中指定的一组功能。请注意,安全 Web 代理尚不支持此字段。
excludePublicCaSet

boolean

可选。如果为 FALSE(默认值),除了 trustConfig 中指定的任何 CA 之外,还会使用我们的一组默认公共 CA。这些公共 CA 目前基于 Mozilla 根计划,可能会随时间推移而发生变化。如果为 TRUE,则不接受我们的默认公共 CA 组。仅接受 trustConfig 中指定的 CA。为实现向后兼容性,此值默认为 FALSE(除了 trustConfig 之外,还使用公共 CA),但不建议信任公共根 CA,除非相关流量是出站到公共网站服务器。请尽可能将其设置为“false”,并在 TrustConfig 中明确指定受信任的 CA 和证书。请注意,安全 Web 代理尚不支持此字段。

TlsVersion

客户端或服务器可用于与 TLS 检查代理建立连接的最低 TLS 协议版本。

枚举
TLS_VERSION_UNSPECIFIED 表示未指定 TLS 版本。
TLS_1_0 TLS 1.0
TLS_1_1 TLS 1.1
TLS_1_2 TLS 1.2
TLS_1_3 TLS 1.3

个人资料

配置文件指定防火墙在与客户端和服务器协商 TLS 连接时可以使用的一组 TLS 加密套件(以及未来可能的其他功能)。这些字段的含义与负载平衡器的 SSLPolicy 资源相同。

枚举
PROFILE_UNSPECIFIED 表示未指定任何配置文件。
PROFILE_COMPATIBLE 兼容的配置文件。可让数量最多的客户端(即使是仅支持已过时的 SSL 功能的客户端)与 TLS 检查代理协商。
PROFILE_MODERN 现代配置文件。支持大量 SSL 功能,允许新型客户端与 TLS 检查代理协商 SSL。
PROFILE_RESTRICTED 受限个人资料。支持的 SSL 功能较少,旨在满足更严格的合规要求。
PROFILE_CUSTOM 自定义配置文件。仅允许 SslPolicy 的 custom_features 字段中指定的一组允许的 SSL 功能。

方法

create

 在给定的项目和位置中创建一个新的 TlsInspectionPolicy。

delete

 删除单个 TlsInspectionPolicy。

get

 获取单个 TlsInspectionPolicy 的详细信息。

list

 列出给定项目和位置中的 TlsInspectionPolicy。

patch

 更新单个 TlsInspectionPolicy 的参数。