Recurso: AuthorizationPolicy
AuthorizationPolicy é um recurso que especifica como um servidor deve autorizar conexões de entrada. Esse recurso em si não muda a configuração, a menos que esteja anexado a um proxy HTTPS de destino ou recurso de seletor de configuração de endpoint.
Representação JSON |
---|
{ "name": string, "description": string, "createTime": string, "updateTime": string, "labels": { string: string, ... }, "action": enum ( |
Campos | |
---|---|
name |
Obrigatório. Nome do recurso AuthorizationPolicy. Ele corresponde ao padrão |
description |
Opcional. Descrição de texto livre do recurso. |
createTime |
Apenas saída. O carimbo de data/hora em que o recurso foi criado. Usa RFC 3339, em que a saída gerada é sempre normalizada em Z e usa 0, 3, 6 ou 9 dígitos fracionários. Outros ajustes também são aceitos. Por exemplo, |
updateTime |
Apenas saída. O carimbo de data/hora em que o recurso foi atualizado. Usa RFC 3339, em que a saída gerada é sempre normalizada em Z e usa 0, 3, 6 ou 9 dígitos fracionários. Outros ajustes também são aceitos. Por exemplo, |
labels |
Opcional. Conjunto de tags de rótulo associadas ao recurso AuthorizationPolicy. Um objeto com uma lista de pares |
action |
Obrigatório. A ação a ser tomada quando uma correspondência de regra for encontrada. Os valores possíveis são "ALLOW" ou "DENY". |
rules[] |
Opcional. Lista de regras a serem correspondidas. Pelo menos uma das regras precisa corresponder para que a ação especificada no campo "action" seja realizada. Uma regra é uma correspondência se houver uma origem e um destino correspondentes. Se deixado em branco, a ação especificada no campo |
Ação
Valores possíveis que definem qual ação tomar.
Enums | |
---|---|
ACTION_UNSPECIFIED |
Valor padrão. |
ALLOW |
Conceda acesso. |
DENY |
Negar acesso. As regras de negação devem ser evitadas, a menos que sejam usadas para fornecer um fallback padrão "negar tudo". |
Regra
Especificação de regras.
Representação JSON |
---|
{ "sources": [ { object ( |
Campos | |
---|---|
sources[] |
Opcional. Lista de atributos da origem de tráfego. Todas as fontes precisam corresponder. Uma origem será uma correspondência se os principais e os ipBlocks forem iguais. Se não for definido, a ação especificada no campo "action" será aplicada sem verificações de regra para a origem. |
destinations[] |
Opcional. Lista de atributos do destino de tráfego. Todos os destinos precisam corresponder. Um destino é uma correspondência se uma solicitação corresponder a todos os hosts, portas, métodos e cabeçalhos especificados. Se não for definido, a ação especificada no campo "action" será aplicada sem verificações de regra para o destino. |
Origem
Especificação de atributos de origem de tráfego.
Representação JSON |
---|
{ "principals": [ string ], "ipBlocks": [ string ] } |
Campos | |
---|---|
principals[] |
Opcional. Lista de identidades de partes para correspondência de autorização. Pelo menos um principal precisa corresponder. Cada elemento pode ser uma correspondência exata, de prefixo (por exemplo, "namespace/*"), de sufixo (por exemplo, "*/service-account") ou de presença "*". A autorização baseada no nome principal sem validação de certificado (configurada pelo recurso ServerTlsPolicy) é considerada insegura. |
ipBlocks[] |
Opcional. Lista de intervalos CIDR para correspondência com base no endereço IP de origem. Pelo menos um bloco de IP precisa corresponder. IP único (por exemplo, "1.2.3.4") e CIDR (por exemplo, "1.2.3.0/24") são aceitos. É recomendável evitar a autorização com base apenas no IP de origem. Os endereços IP de balanceadores de carga ou proxies não são confiáveis. |
Destino
Especificação de atributos de destino de tráfego.
Representação JSON |
---|
{
"hosts": [
string
],
"ports": [
integer
],
"paths": [
string
],
"methods": [
string
],
"httpHeaderMatch": {
object ( |
Campos | |
---|---|
hosts[] |
Obrigatório. Lista de nomes de host a serem correspondidos. Corresponde ao cabeçalho ":authority" em solicitações HTTP. Pelo menos um host precisa corresponder. Cada host pode ser uma correspondência exata, de prefixo (por exemplo, "mydomain.*"), de sufixo (por exemplo, "*.myorg.com") ou de presença (qualquer) "*". |
ports[] |
Obrigatório. Lista de portas de destino para correspondência. Pelo menos uma porta precisa corresponder. |
paths[] |
Opcional. Uma lista de caminhos HTTP a serem correspondidos. Os métodos gRPC precisam ser apresentados como um nome totalmente qualificado no formato "/packageName.serviceName/methodName". Pelo menos um caminho precisa corresponder. Cada caminho pode ser uma correspondência exata, de prefixo (por exemplo, "/packageName.serviceName/*") ou de sufixo (por exemplo, "*/video") ou uma correspondência de presença (qualquer) "*". |
methods[] |
Opcional. Uma lista de métodos HTTP para corresponder. Pelo menos um método precisa corresponder. Não deve ser definido para serviços gRPC. |
httpHeaderMatch |
Opcional. Corresponde ao par chave:valor no cabeçalho HTTP. Fornece uma correspondência flexível com base em cabeçalhos HTTP para casos de uso potencialmente avançados. Pelo menos um cabeçalho precisa corresponder. Evite usar correspondências de cabeçalho para tomar decisões de autorização, a menos que haja uma garantia forte de que as solicitações chegam por um cliente ou proxy confiável. |
HttpHeaderMatch
Especificação de atributos de correspondência de cabeçalho HTTP.
Representação JSON |
---|
{ "headerName": string, // Union field |
Campos | |
---|---|
headerName |
Obrigatório. O nome do cabeçalho HTTP a ser correspondido. Para corresponder à autoridade da solicitação HTTP, use um headerMatch com o nome do cabeçalho ":authority". Para corresponder ao método de uma solicitação, use o headerName ":method". |
Campo de união
|
|
regexMatch |
Obrigatório. O valor do cabeçalho precisa corresponder à expressão regular especificada em regexMatch. Para a gramática de expressões regulares, consulte: en.cppreference.com/w/cpp/regex/ecmascript. Para fazer a correspondência com uma porta especificada na solicitação HTTP, use um headerMatch com headerName definido como Host e uma expressão regular que atenda ao especificador de porta do cabeçalho Host RFC2616. |
Métodos |
|
---|---|
|
Cria uma AuthorizationPolicy em um determinado projeto e local. |
|
Exclui uma única AuthorizationPolicy. |
|
Recebe detalhes de uma única AuthorizationPolicy. |
|
Lista as AuthorizationPolicies em um determinado projeto e local. |
|
Atualiza os parâmetros de uma única AuthorizationPolicy. |