リソース: TlsInspectionPolicy
TlsInspectionPolicy リソースには、Certificate Authority Service の CA プールへの参照と関連メタデータが含まれています。
| JSON 表現 |
|---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "caPool": string, "trustConfig": string, "minTlsVersion": enum ( |
| フィールド | |
|---|---|
name |
必須。リソースの名前。名前は projects/{project}/locations/{location}/tlsInspectionPolicies/{tlsInspectionPolicy} の形式です。tlsInspectionPolicy は、パターン (^a-z?$) に一致する必要があります。 |
description |
省略可。フリーテキストでのリソースの説明。 |
createTime |
出力専用。リソース作成時のタイムスタンプ。 RFC3339 UTC「Zulu」形式のタイムスタンプ。精度はナノ秒まで、小数点以下は最大 9 桁。例: |
updateTime |
出力専用。リソース更新時のタイムスタンプ。 RFC3339 UTC「Zulu」形式のタイムスタンプ。精度はナノ秒まで、小数点以下は最大 9 桁。例: |
caPool |
必須。インターセプト証明書の発行に使用される CA プールリソース。CA プール文字列には、「projects/{project}/locations/{location}/caPools/{caPool}」という形式の相対リソースパスが含まれます。 |
trustConfig |
省略可。TLS サーバーへの接続時に使用される TrustConfig リソース。これは、「projects/{project}/locations/{location}/trustConfigs/{trustConfig}」形式の相対リソースパスです。これは、プライベート CA によって署名された証明書または自己署名証明書を持つサーバーへの TLS 接続をインターセプトするために必要となります。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
minTlsVersion |
省略可。クライアントおよびサーバーとの接続をネゴシエートするときにファイアウォールが使用する TLS の最小バージョン。設定されていない場合のデフォルト値では、最も広範なクライアントとサーバーの組み合わせが許可されます(TLS 1.0 以上)。より制限的な値を設定するとセキュリティは向上しますが、ファイアウォールが一部のクライアントやサーバーに接続できなくなる可能性もあります。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
tlsFeatureProfile |
省略可。選択したプロファイル。設定されていない場合のデフォルト値では、最も広範なクライアントとサーバーの組み合わせが許可されます(「PROFILE_COMPATIBLE」)。より制限的な値に設定するとセキュリティが強化されますが、TLS インスペクション プロキシが一部のクライアントやサーバーに接続できなくなる可能性があります。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
customTlsFeatures[] |
省略可。選択したカスタム TLS 暗号スイートのリスト。このフィールドは、選択した tlsFeatureProfile が CUSTOM の場合にのみ有効です。[compute.SslPoliciesService.ListAvailableFeatures][] メソッドは、このリストで指定できる一連の機能を返します。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
excludePublicCaSet |
省略可。FALSE(デフォルト)の場合、trustConfig で指定された CA に加えて、デフォルトのパブリック CA のセットも使用されます。これらのパブリック CA は現在 Mozilla Root Program に基づいており、今後変更される可能性があります。TRUE の場合、デフォルトのパブリック CA のセットは受け入れられません。trustConfig で指定された CA のみが受け入れられます。下位互換性を確保するため、デフォルトでは FALSE(trustConfig に加えてパブリック CA も使用する)に設定されていますが、問題のトラフィックがパブリック ウェブサーバーに送信される場合を除き、パブリック ルート CA を信頼することは推奨されません。可能な場合は、これを「false」に設定し、TrustConfig で信頼できる CA と証明書を明示的に指定することをおすすめします。Secure Web Proxy では、まだこのフィールドは考慮されません。 |
TlsVersion
クライアントまたはサーバーが TLS インスペクション プロキシとの接続を確立するために使用できる TLS プロトコルの最小バージョン。
| 列挙型 | |
|---|---|
TLS_VERSION_UNSPECIFIED |
TLS バージョンが指定されていないことを示します。 |
TLS_1_0 |
TLS 1.0 |
TLS_1_1 |
TLS 1.1 |
TLS_1_2 |
TLS 1.2 |
TLS_1_3 |
TLS 1.3 |
Profile
Profile は、ファイアウォールがクライアントまたはサーバーとの間で TLS 接続をネゴシエートするときに使用できる TLS 暗号スイートのセット(将来的に他の機能が追加される可能性もあります)を指定します。これらのフィールドの意味は、ロードバランサの SSLPolicy リソースと同じです。
| 列挙型 | |
|---|---|
PROFILE_UNSPECIFIED |
プロファイルが指定されていないことを示します。 |
PROFILE_COMPATIBLE |
互換性のあるプロファイル。最も広範なクライアントのセット(古い SSL 機能のみをサポートするクライアントも含む)が TLS インスペクション プロキシとネゴシエートできるようにします。 |
PROFILE_MODERN |
最新のプロファイル。幅広い SSL 機能をサポートしています。最新のクライアントはこれらの機能を使用して、TLS インスペクション プロキシと SSL をネゴシエートできます。 |
PROFILE_RESTRICTED |
制限付きプロファイル。厳しいコンプライアンス要件を満たすために、限定された SSL 機能のみをサポートします。 |
PROFILE_CUSTOM |
カスタム プロファイル。SslPolicy の custom_features フィールドで指定された、許可された SSL 機能のみを許可します。 |
メソッド |
|
|---|---|
|
指定されたプロジェクトとロケーションで新しい TlsInspectionPolicy を作成します。 |
|
単一の TlsInspectionPolicy を削除します。 |
|
単一の TlsInspectionPolicy の詳細情報を取得します。 |
|
指定されたプロジェクトとロケーションの TlsInspectionPolicies の一覧を取得します。 |
|
単一の TlsInspectionPolicy のパラメータを更新します。 |