Looker（Google Cloud コア）インスタンスで TLS 暗号スイートを制限する

Google Cloud は複数の TLS 暗号スイートをサポートしています。セキュリティ要件またはコンプライアンス要件を満たすため、安全性の低い TLS 暗号スイートを使用しているクライアントからのリクエストを拒否する場合があります。

この機能は、gcp.restrictTLSCipherSuites 組織のポリシーの制約によって提供されます。

始める前に

組織のポリシーの設定、変更、削除に必要な権限を取得するには、組織に対する組織のポリシー管理者 （roles/orgpolicy.policyAdmin）の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

組織ポリシーの設定

gcp.restrictTLSCipherSuites 組織のポリシーの制約は、パブリック IP ネットワーキング構成を使用する Looker（Google Cloud コア）インスタンスに適用できます。

制約は、インスタンスの作成前または作成後に適用できます。

TLS 暗号スイートを制限するのドキュメント ページの手順に沿って、組織のポリシーを設定します。Looker（Google Cloud コア）は、Google 管理の MODERN SSL ポリシー プロファイルに準拠しており、そのプロファイルに含まれる暗号スイートをサポートしています。

Looker（Google Cloud コア）インスタンスの作成後に組織のポリシーを設定または変更した場合は、次のいずれかのアクションを実行して、組織のポリシーの更新を Looker（Google Cloud コア）インスタンスに適用する必要があります。

• インスタンスを再起動します。
• Google Cloud コンソール内または gcloud CLI を使用して、Looker（Google Cloud コア）の設定を編集します。

ポリシー違反

Looker（Google Cloud コア）でサポートされている MODERN 暗号スイートを許可しないように組織のポリシー制約を設定すると、Looker（Google Cloud コア）インスタンスを作成、更新、再起動できなくなり、次のエラーが表示されます。

com.google.apps.framework.request.FailedPreconditionException:
Constraint`constraints/gcp.restrictTLSCipherSuites` is violated for resource
`resourcemanager_projects``PROJECT_ID` Code: FAILED_PRECONDITION

この出力には、Looker（Google Cloud コア）インスタンスをホストしているプロジェクトの ID である PROJECT_ID 値が含まれます。

違反に対処するには、サポートされている暗号スイートを 1 つ以上許可するように gcp.restrictTLSCipherSuites 組織のポリシーを更新します。