Cette page explique comment créer des groupes de profils de sécurité à l'aide de la Google Cloud console ou de Google Cloud CLI.
Pour vérifier la progression des opérations répertoriées sur cette page,
assurez-vous que votre rôle utilisateur dispose des autorisations suivantes
Utilisateur de réseau Compute
(roles/compute.networkUser) :
networksecurity.operations.getnetworksecurity.operations.list
Avant de commencer
- Vous devez activer l'API Network Security dans votre projet.
Installez gcloud CLI si vous souhaitez exécuter les
gcloudexemples de ligne de commande de ce guide.Vous avez besoin d'un profil de sécurité de prévention des menaces ou d'un profil de sécurité de filtrage des URL.
Rôles
Pour obtenir les autorisations nécessaires pour créer des groupes de profils de sécurité, demandez à votre administrateur de vous accorder les rôles IAM nécessaires sur votre organisation ou votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Créer un groupe de profils de sécurité
Chaque groupe de profils de sécurité peut contenir jusqu'à un profil de sécurité de chacun des types suivants :
url-filteringthreat-prevention
Groupes de profils de sécurité au niveau de l'organisation
Pour créer un groupe de profils de sécurité au niveau de l'organisation, utilisez la Google Cloud console ou gcloud CLI.
Lorsque vous créez un groupe de profils de sécurité, vous pouvez spécifier le nom du groupe de profils de sécurité sous forme de chaîne ou d'identifiant d'URL unique. Pour créer l'URL unique d'un groupe de profils de sécurité, utilisez le format suivant :
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
Si vous utilisez un identifiant d'URL unique pour le nom du groupe de profils de sécurité, l'organisation et l'emplacement du groupe de profils de sécurité sont déjà inclus dans l'identifiant d'URL. Toutefois, si vous n'utilisez que le nom du groupe de profils de sécurité, vous devez spécifier l'organisation et l'emplacement séparément. Pour en savoir plus sur les identifiants d'URL uniques, consultez la section spécifications du groupe de profils de sécurité.
Console
Dans la Google Cloud console, accédez à la page Profils de sécurité.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Sélectionnez l'onglet Groupes de profils de sécurité.
Configurez un groupe de profils de sécurité :
- Cliquez sur Créer un groupe de profils.
- Saisissez un nom dans le champ Nom.
- Facultatif : saisissez une description dans le champ Description.
- Pour créer un groupe de profils de sécurité pour Cloud Next Generation Firewall Enterprise, dans la section Usage, sélectionnez Cloud NGFW Enterprise.
- Dans la liste Profil de prévention des menaces ou Profil de filtrage des URL, sélectionnez le profil de sécurité que vous souhaitez ajouter à ce groupe de profils de sécurité.
- Cliquez sur Créer.
gcloud
Pour créer un groupe de profils de sécurité, exécutez la gcloud network-security
security-profile-groups create
commande :
gcloud network-security security-profile-groups create NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
Remplacez les éléments suivants :
NAME: nom du groupe de profils de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.ORGANIZATION_ID: organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour la variableNAME, vous pouvez omettre l'option--organization.LOCATION: emplacement du groupe de profils de sécurité.L'emplacement est toujours défini sur
global. Si vous utilisez un identifiant d'URL unique pour la variableNAME, vous pouvez omettre l'option--location.QUOTA_PROJECT_ID: ID du projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.SECURITY_PROFILE_URL: identifiant d'URL unique pour un profil de sécurité de typeurl-filteringouthreat-prevention. Vous devez ajouter au moins l'un de ces profils de sécurité.DESCRIPTION: description facultative pour le groupe de profils de sécurité.
Groupes de profils de sécurité au niveau du projet
Pour créer un groupe de profils de sécurité au niveau du projet, utilisez gcloud CLI.
Lorsque vous créez un groupe de profils de sécurité, vous pouvez spécifier le nom du groupe de profils de sécurité sous forme de chaîne ou d'identifiant d'URL unique. Pour créer l'URL unique d'un groupe de profils de sécurité , utilisez le format suivant :
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
Si vous utilisez un identifiant d'URL unique pour le nom du groupe de profils de sécurité, le projet et l'emplacement du groupe de profils de sécurité sont déjà inclus dans l'identifiant d'URL. Toutefois, si vous n'utilisez que le nom du groupe de profils de sécurité, vous devez spécifier le projet et l'emplacement séparément. Pour en savoir plus sur les identifiants d'URL uniques, consultez la section spécifications du groupe de profils de sécurité.
gcloud
Pour créer un groupe de profils de sécurité, exécutez la gcloud network-security
security-profile-groups create
commande :
gcloud beta network-security security-profile-groups create NAME \
--project PROJECT_ID \
--location LOCATION \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
Remplacez les éléments suivants :
NAME: nom du groupe de profils de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.PROJECT_ID: projet dans lequel le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour la variableNAME, vous pouvez omettre l'option--project.LOCATION: emplacement du groupe de profils de sécurité.L'emplacement est toujours défini sur
global. Si vous utilisez un identifiant d'URL unique pour la variableNAME, vous pouvez omettre l'option--location.SECURITY_PROFILE_URL: identifiant d'URL unique pour un profil de sécurité de typeurl-filteringouthreat-prevention. Vous devez ajouter au moins l'un de ces profils de sécurité.DESCRIPTION: description facultative pour le groupe de profils de sécurité.