Ressource: ServerTlsPolicy
ServerTlsPolicy est une ressource qui spécifie la manière dont un serveur doit authentifier les requêtes entrantes. Cette ressource elle-même n'affecte pas la configuration, sauf si elle est associée à un proxy HTTPS cible ou à une ressource de sélecteur de configuration de point de terminaison.
ServerTlsPolicy sous la forme acceptée par les équilibreurs de charge d'application ne peut être associé qu'à TargetHttpsProxy avec un schéma d'équilibrage de charge EXTERNAL
, EXTERNAL_MANAGED
ou INTERNAL_MANAGED
. Les ServerTlsPolicies compatibles avec Traffic Director peuvent être associées à EndpointPolicy et TargetHttpsProxy avec le schéma d'équilibrage de charge INTERNAL_SELF_MANAGED
de Traffic Director.
Représentation JSON |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "allowOpen": boolean, "serverCertificate": { object ( |
Champs | |
---|---|
name |
Obligatoire. Nom de la ressource ServerTlsPolicy. Il correspond au modèle |
description |
Description libre de la ressource. |
createTime |
Uniquement en sortie. Code temporel de la création de la ressource. Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : |
updateTime |
Uniquement en sortie. Code temporel de la mise à jour de la ressource. Horodatage au format RFC3339 UTC "Zulu", avec une résolution de l'ordre de la nanoseconde et jusqu'à neuf chiffres décimaux. Exemples : |
labels |
Ensemble de tags d'étiquette associés à la ressource. Objet contenant une liste de paires |
allowOpen |
Ce champ ne s'applique qu'aux règles Traffic Director. Il doit être défini sur "false" pour les règles Application Load Balancer. Détermine si le serveur autorise les connexions en texte brut. Si cette option est définie sur "true", le serveur autorise les connexions en texte brut. Par défaut, il est défini sur "false". Ce paramètre n'exclut pas les autres modes de chiffrement. Par exemple, si Envisagez de l'utiliser si vous souhaitez mettre à niveau votre déploiement vers TLS en conservant un trafic TLS et non TLS mixte sur le port 80. |
serverCertificate |
Facultatif si la règle doit être utilisée avec Traffic Director. Pour les équilibreurs de charge d'application, ce champ doit être vide. Définit un mécanisme de provisionnement de l'identité du serveur (clés publique et privée). Ne peut pas être combiné avec |
mtlsPolicy |
Ce champ est obligatoire si la règle est utilisée avec des équilibreurs de charge d'application. Ce champ peut être vide pour Traffic Director. Définit un mécanisme permettant de provisionner des certificats de validation de pair pour l'authentification de pair à pair (TLS mutuel, mTLS). Si aucune valeur n'est spécifiée, le certificat client ne sera pas demandé. La connexion est traitée comme TLS et non comme mTLS. Si |
MTLSPolicy
Spécification de MTLSPolicy.
Représentation JSON |
---|
{ "clientValidationMode": enum ( |
Champs | |
---|---|
clientValidationMode |
Lorsque le client présente un certificat non valide ou aucun certificat à l'équilibreur de charge, Obligatoire si la règle doit être utilisée avec les équilibreurs de charge d'application. Pour Traffic Director, il doit être vide. |
clientValidationCa[] |
Obligatoire si la règle doit être utilisée avec Traffic Director. Pour les équilibreurs de charge d'application, il doit être vide. Définit le mécanisme permettant d'obtenir le certificat de l'autorité de certification pour valider le certificat client. |
clientValidationTrustConfig |
Référence à la TrustConfig à partir de l'espace de noms certificatemanager.googleapis.com. Si elle est spécifiée, la validation de la chaîne sera effectuée par rapport aux certificats configurés dans TrustConfig donné. Autorisé uniquement si la règle doit être utilisée avec des équilibreurs de charge d'application. |
ClientValidationMode
Mode de validation des certificats TLS mutuels.
Enums | |
---|---|
CLIENT_VALIDATION_MODE_UNSPECIFIED |
Non autorisé. |
ALLOW_INVALID_OR_MISSING_CLIENT_CERT |
Autorisez la connexion même si la validation de la chaîne de certificats du certificat client a échoué ou si aucun certificat client n'a été présenté. La preuve de possession de la clé privée est toujours vérifiée si un certificat client a été présenté. Ce mode nécessite que le backend implémente le traitement des données extraites d'un certificat client pour authentifier l'homologue ou rejeter les connexions si l'empreinte du certificat client est manquante. |
REJECT_INVALID |
Exiger un certificat client et n'autoriser la connexion au backend que si la validation du certificat client a réussi. Si elle est définie, nécessite une référence à un TrustConfig non vide spécifié dans |
Méthodes |
|
---|---|
|
Crée une ressource ServerTlsPolicy dans un projet et un emplacement donnés. |
|
Supprime une seule stratégie ServerTlsPolicy. |
|
Récupère les informations d'un seul ServerTlsPolicy. |
|
Récupère la stratégie de contrôle d'accès d'une ressource. |
|
Répertorie les règles ServerTlsPolicy d'un projet et d'un emplacement donnés. |
|
Met à jour les paramètres d'un seul objet ServerTlsPolicy. |
|
Définit la stratégie de contrôle d'accès de la ressource spécifiée. |
|
Renvoie les autorisations qu'un appelant a sur la ressource spécifiée. |