Resource: AuthorizationPolicy
AuthorizationPolicy adalah resource yang menentukan cara server harus mengizinkan koneksi masuk. Resource ini sendiri tidak mengubah konfigurasi kecuali jika dilampirkan ke target proxy https atau resource pemilih konfigurasi endpoint.
Representasi JSON |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "action": enum ( |
Kolom | |
---|---|
name |
Wajib. Nama resource AuthorizationPolicy. Cocok dengan pola |
description |
Opsional. Deskripsi teks bebas tentang resource. |
createTime |
Hanya output. Stempel waktu saat resource dibuat. Menggunakan RFC 3339, dengan output yang dihasilkan akan selalu dinormalisasi Z dan menggunakan 0, 3, 6, atau 9 digit pecahan. Offset selain "Z" juga diterima. Contoh: |
updateTime |
Hanya output. Stempel waktu saat resource diperbarui. Menggunakan RFC 3339, dengan output yang dihasilkan akan selalu dinormalisasi Z dan menggunakan 0, 3, 6, atau 9 digit pecahan. Offset selain "Z" juga diterima. Contoh: |
labels |
Opsional. Kumpulan tag label yang terkait dengan resource AuthorizationPolicy. Objek yang berisi daftar pasangan |
action |
Wajib. Tindakan yang harus dilakukan saat kecocokan aturan ditemukan. Nilai yang mungkin adalah "ALLOW" atau "DENY". |
rules[] |
Opsional. Daftar aturan yang akan dicocokkan. Perhatikan bahwa setidaknya salah satu aturan harus cocok agar tindakan yang ditentukan di kolom 'action' dapat dilakukan. Aturan cocok jika ada sumber dan tujuan yang cocok. Jika dibiarkan kosong, tindakan yang ditentukan di kolom |
Tindakan
Nilai yang mungkin menentukan tindakan yang akan dilakukan.
Enum | |
---|---|
ACTION_UNSPECIFIED |
Nilai default. |
ALLOW |
Berikan akses. |
DENY |
Menolak akses. Aturan penolakan harus dihindari kecuali jika digunakan untuk memberikan penggantian "tolak semua" default. |
Aturan
Spesifikasi aturan.
Representasi JSON |
---|
{ "sources": [ { object ( |
Kolom | |
---|---|
sources[] |
Opsional. Daftar atribut untuk sumber traffic. Semua sumber harus cocok. Sumber dianggap cocok jika prinsipal dan ipBlocks cocok. Jika tidak ditetapkan, tindakan yang ditentukan di kolom 'action' akan diterapkan tanpa pemeriksaan aturan apa pun untuk sumber. |
destinations[] |
Opsional. Daftar atribut untuk tujuan traffic. Semua tujuan harus cocok. Tujuan cocok jika permintaan cocok dengan semua host, port, metode, dan header yang ditentukan. Jika tidak disetel, tindakan yang ditentukan di kolom 'action' akan diterapkan tanpa pemeriksaan aturan apa pun untuk tujuan. |
Sumber
Spesifikasi atribut sumber traffic.
Representasi JSON |
---|
{ "principals": [ string ], "ipBlocks": [ string ] } |
Kolom | |
---|---|
principals[] |
Opsional. Daftar identitas pembanding yang akan dicocokkan untuk otorisasi. Setidaknya satu prinsipal harus cocok. Setiap peer dapat berupa kecocokan persis, atau kecocokan awalan (contoh, "namespace/*") atau kecocokan akhiran (contoh, "*/service-account") atau kecocokan kehadiran "*". Otorisasi berdasarkan nama utama tanpa validasi sertifikat (dikonfigurasi oleh resource ServerTlsPolicy) dianggap tidak aman. |
ipBlocks[] |
Opsional. Daftar rentang CIDR yang akan dicocokkan berdasarkan alamat IP sumber. Setidaknya satu blok IP harus cocok. IP Tunggal (misalnya, "1.2.3.4") dan CIDR (misalnya, "1.2.3.0/24") didukung. Otorisasi berdasarkan IP sumber saja harus dihindari. Alamat IP load balancer atau proxy apa pun harus dianggap tidak tepercaya. |
Tujuan
Spesifikasi atribut tujuan traffic.
Representasi JSON |
---|
{
"hosts": [
string
],
"ports": [
integer
],
"paths": [
string
],
"methods": [
string
],
"httpHeaderMatch": {
object ( |
Kolom | |
---|---|
hosts[] |
Wajib. Daftar nama host yang akan dicocokkan. Dicocokkan dengan header ":authority" dalam permintaan http. Setidaknya satu host harus cocok. Setiap host dapat berupa pencocokan persis, atau pencocokan awalan (contoh "mydomain.*") atau pencocokan akhiran (contoh "*.myorg.com") atau pencocokan kehadiran (apa pun) "*". |
ports[] |
Wajib. Daftar port tujuan yang akan dicocokkan. Setidaknya satu port harus cocok. |
paths[] |
Opsional. Daftar jalur HTTP yang akan dicocokkan. Metode gRPC harus ditampilkan sebagai nama yang sepenuhnya memenuhi syarat dalam bentuk "/packageName.serviceName/methodName". Setidaknya satu jalur harus cocok. Setiap jalur dapat berupa kecocokan persis, atau kecocokan awalan (contoh, "/packageName.serviceName/*") atau kecocokan akhiran (contoh, "*/video") atau kecocokan kehadiran (apa pun) "*". |
methods[] |
Opsional. Daftar metode HTTP yang akan dicocokkan. Setidaknya satu metode harus cocok. Tidak boleh ditetapkan untuk layanan gRPC. |
httpHeaderMatch |
Opsional. Mencocokkan dengan pasangan key:value di header http. Menyediakan kecocokan fleksibel berdasarkan header HTTP, untuk kasus penggunaan yang berpotensi lanjutan. Setidaknya satu header harus cocok. Hindari penggunaan kecocokan header untuk membuat keputusan otorisasi kecuali ada jaminan kuat bahwa permintaan tiba melalui klien atau proxy tepercaya. |
HttpHeaderMatch
Spesifikasi atribut kecocokan header HTTP.
Representasi JSON |
---|
{ "headerName": string, // Union field |
Kolom | |
---|---|
headerName |
Wajib. Nama header HTTP yang akan dicocokkan. Untuk mencocokkan dengan otoritas permintaan HTTP, gunakan headerMatch dengan nama header ":authority". Untuk mencocokkan metode permintaan, gunakan headerName ":method". |
Kolom union
|
|
regexMatch |
Wajib. Nilai header harus cocok dengan ekspresi reguler yang ditentukan dalam regexMatch. Untuk tata bahasa ekspresi reguler, lihat: en.cppreference.com/w/cpp/regex/ecmascript Untuk mencocokkan dengan port yang ditentukan dalam permintaan HTTP, gunakan headerMatch dengan headerName yang disetel ke Host dan ekspresi reguler yang memenuhi penentu port header Host RFC2616. |
Metode |
|
---|---|
|
Membuat AuthorizationPolicy baru di project dan lokasi tertentu. |
|
Menghapus satu AuthorizationPolicy. |
|
Mendapatkan detail satu AuthorizationPolicy. |
|
Mencantumkan AuthorizationPolicy dalam project dan lokasi tertentu. |
|
Memperbarui parameter satu AuthorizationPolicy. |