Recurso: AuthorizationPolicy
AuthorizationPolicy es un recurso que especifica cómo un servidor debe autorizar las conexiones entrantes. Este recurso no cambia la configuración, a menos que esté conectado a un proxy HTTPS de destino o a un recurso selector de configuración de extremo.
Representación JSON |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "action": enum ( |
Campos | |
---|---|
name |
Obligatorio. Es el nombre del recurso AuthorizationPolicy. Coincide con el patrón |
description |
Opcional. Es una descripción de texto libre del recurso. |
createTime |
Solo salida. Marca de tiempo cuando se creó el recurso. Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
updateTime |
Solo salida. La marca de tiempo cuando se creó el recurso. Una marca de tiempo en formato RFC3339 UTC “Zulú”, con una resolución de nanosegundos y hasta nueve dígitos fraccionarios. Ejemplos: |
labels |
Opcional. Es un conjunto de etiquetas asociadas con el recurso AuthorizationPolicy. Un objeto que contiene una lista de pares |
action |
Obligatorio. Es la acción que se debe realizar cuando se encuentra una coincidencia de regla. Los valores posibles son "ALLOW" o "DENY". |
rules[] |
Opcional. Es la lista de reglas que deben coincidir. Ten en cuenta que al menos una de las reglas debe coincidir para que se realice la acción especificada en el campo "acción". Una regla es una coincidencia si hay una fuente y un destino que coinciden. Si se deja en blanco, la acción especificada en el campo |
Acción
Son los valores posibles que definen qué acción se debe realizar.
Enums | |
---|---|
ACTION_UNSPECIFIED |
Valor predeterminado |
ALLOW |
Otorga acceso. |
DENY |
Negar el acceso Se deben evitar las reglas de denegación, a menos que se usen para proporcionar un resguardo predeterminado de “rechazar todo”. |
Regla
Especificación de reglas.
Representación JSON |
---|
{ "sources": [ { object ( |
Campos | |
---|---|
sources[] |
Opcional. Es la lista de atributos de la fuente de tráfico. Todas las fuentes deben coincidir. Una fuente es una coincidencia si coinciden los principales y los ipBlocks. Si no se establece, se aplicará la acción especificada en el campo "acción" sin ninguna verificación de reglas para la fuente. |
destinations[] |
Opcional. Es la lista de atributos del destino de tráfico. Todos los destinos deben coincidir. Un destino es una coincidencia si una solicitud coincide con todos los hosts, puertos, métodos y encabezados especificados. Si no se establece, se aplicará la acción especificada en el campo "action" sin ninguna verificación de reglas para el destino. |
Fuente
Especificación de los atributos de la fuente de tráfico
Representación JSON |
---|
{ "principals": [ string ], "ipBlocks": [ string ] } |
Campos | |
---|---|
principals[] |
Opcional. Es la lista de identidades de intercambio de tráfico que deben coincidir para la autorización. Al menos un principal debe coincidir. Cada par puede ser una coincidencia exacta, una coincidencia de prefijo (por ejemplo, "namespace/*"), una coincidencia de sufijo (por ejemplo, "*/service-account") o una coincidencia de presencia "*". La autorización basada en el nombre principal sin validación de certificados (configurada por el recurso ServerTlsPolicy) se considera insegura. |
ipBlocks[] |
Opcional. Es una lista de rangos CIDR que deben coincidir según la dirección IP de origen. Al menos un bloque de IP debe coincidir. IP única (p.ej., “1.2.3.4”) y CIDR (p.ej., "1.2.3.0/24"). Se debe evitar la autorización basada solo en la IP de origen. Las direcciones IP de los balanceadores de cargas o proxies deben considerarse no confiables. |
Destino
Especificación de los atributos de destino del tráfico
Representación JSON |
---|
{
"hosts": [
string
],
"ports": [
integer
],
"methods": [
string
],
"httpHeaderMatch": {
object ( |
Campos | |
---|---|
hosts[] |
Obligatorio. Es una lista de nombres de host que deben coincidir. Se compara con el encabezado ":authority" en las solicitudes HTTP. Debe coincidir al menos un host. Cada host puede ser una concordancia exacta, de prefijo (por ejemplo, "midominio.*"), de sufijo (por ejemplo, "*.miorg.com") o de presencia (cualquiera) "*". |
ports[] |
Obligatorio. Es la lista de puertos de destino que deben coincidir. Al menos un puerto debe coincidir. |
methods[] |
Opcional. Es una lista de métodos HTTP con los que se establece la coincidencia. Debe coincidir al menos un método. No se debe configurar para los servicios de gRPC. |
httpHeaderMatch |
Opcional. Coincidencia con el par clave:valor en el encabezado HTTP. Proporciona una coincidencia flexible basada en encabezados HTTP para casos de uso potencialmente avanzados. Al menos un encabezado debe coincidir. Evita usar coincidencias de encabezados para tomar decisiones de autorización, a menos que haya una garantía sólida de que las solicitudes lleguen a través de un cliente o proxy de confianza. |
HttpHeaderMatch
Especificación de los atributos de coincidencia de encabezados HTTP.
Representación JSON |
---|
{ "headerName": string, // Union field |
Campos | |
---|---|
headerName |
Obligatorio. Es el nombre del encabezado HTTP que debe coincidir. Para hacer coincidir la autoridad de la solicitud HTTP, usa un headerMatch con el nombre de encabezado ":authority". Para hacer coincidir el método de una solicitud, usa el headerName ":method". |
Campo de unión
|
|
regexMatch |
Obligatorio. El valor del encabezado debe coincidir con la expresión regular especificada en regexMatch. Para la gramática de expresiones regulares, consulta: en.cppreference.com/w/cpp/regex/ecmascript. Para hacer coincidir un puerto especificado en la solicitud HTTP, usa un headerMatch con headerName establecido en Host y una expresión regular que satisfaga el especificador de puerto del encabezado Host de RFC2616. |
Métodos |
|
---|---|
|
Crea una nueva AuthorizationPolicy en un proyecto y una ubicación determinados. |
|
Borra una sola AuthorizationPolicy. |
|
Obtiene los detalles de una sola AuthorizationPolicy. |
|
Permite obtener la política de control de acceso de un recurso. |
|
Enumera AuthorizationPolicies en una ubicación y un proyecto determinados. |
|
Actualiza los parámetros de una sola AuthorizationPolicy. |
|
Permite configurar la política de control de acceso en el recurso especificado. |
|
Permite mostrar los permisos que tiene un emisor para un recurso especificado. |