本頁說明如何使用 Google Cloud 控制台或 Google Cloud CLI 建立安全性設定檔群組。
如要查看本頁列出的作業進度,請確認您的使用者角色具備下列 Compute 網路使用者 (roles/compute.networkUser) 權限:
networksecurity.operations.getnetworksecurity.operations.list
事前準備
- 您必須在專案中啟用 Network Security API。
如要執行本指南中的
gcloud指令列範例,請安裝 gcloud CLI。您需要威脅防護安全性設定檔或網址篩選安全性設定檔。
角色
如要取得建立安全設定檔群組所需的權限,請要求系統管理員在您的機構或專案中,授予您必要的 IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理存取權」。
建立安全性設定檔群組
每個安全性設定檔群組最多可包含下列各類型的安全性設定檔各一:
url-filteringthreat-prevention
機構層級安全性設定檔群組
如要建立機構層級的安全設定檔群組,請使用Google Cloud 控制台或 gcloud CLI。
建立安全性設定檔群組時,您可以將安全性設定檔群組的名稱指定為字串或專屬網址 ID。如要建構安全性設定檔群組的專屬網址,請使用下列格式:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
如果您使用專屬網址 ID 做為安全性設定檔群組名稱,網址 ID 中已包含安全性設定檔群組的機構和位置。不過,如果只使用安全性設定檔群組名稱,則必須分別指定機構和位置。如要進一步瞭解專屬網址 ID,請參閱安全性設定檔群組規格。
控制台
前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。
在專案選取器選單中,選取您的機構。
選取「安全性設定檔群組」分頁標籤。
設定安全性設定檔群組:
- 按一下「建立設定檔群組」。
- 在「名稱」欄位中輸入名稱。
- 選用:在「Description」(說明) 欄位輸入說明。
- 如要為 Cloud Next Generation Firewall Enterprise 建立安全性設定檔群組,請在「用途」部分選取「Cloud NGFW Enterprise」。
- 在「威脅防護設定檔」清單或「網址篩選設定檔」清單中,選取要新增至這個安全性設定檔群組的安全性設定檔。
- 點選「建立」。
gcloud
如要建立安全性設定檔群組,請使用 gcloud network-security
security-profile-groups create 指令:
gcloud network-security security-profile-groups create NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
更改下列內容:
NAME:安全設定檔群組的名稱,可以指定為字串或專屬網址 ID。ORGANIZATION_ID:建立安全性設定檔群組的機構。如果您使用不重複的網址 ID 做為NAME變數,可以省略--organization旗標。LOCATION:安全性設定檔群組的位置。位置一律設為「
global」。如果您使用NAME變數的專屬網址 ID,可以省略--location標記。QUOTA_PROJECT_ID:用於安全設定檔群組配額和存取限制的選用專案 ID。SECURITY_PROFILE_URL:url-filtering或threat-prevention類型安全設定檔的專屬網址 ID。您必須至少新增其中一個安全性設定檔。DESCRIPTION:安全性設定檔群組的選用說明。
專案層級安全性設定檔群組
如要建立專案層級安全設定檔群組,請使用 gcloud CLI。
建立安全性設定檔群組時,您可以將安全性設定檔群組的名稱指定為字串或專屬網址 ID。如要建構安全性設定檔群組的專屬網址,請使用下列格式:
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
如果您使用安全性設定檔群組名稱的專屬網址 ID,網址 ID 中已包含專案和安全性設定檔群組的位置。不過,如果只使用安全性設定檔群組名稱,就必須分別指定專案和位置。如要進一步瞭解專屬網址 ID,請參閱安全性設定檔群組規格。
gcloud
如要建立安全性設定檔群組,請使用 gcloud network-security
security-profile-groups create 指令:
gcloud beta network-security security-profile-groups create NAME \
--project PROJECT_ID \
--location LOCATION \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
更改下列內容:
NAME:安全設定檔群組的名稱,可以指定為字串或專屬網址 ID。PROJECT_ID:建立安全性設定檔群組的專案。如果您使用不重複的網址 ID 做為NAME變數,可以省略--project旗標。LOCATION:安全性設定檔群組的位置。位置一律設為「
global」。如果您使用NAME變數的專屬網址 ID,可以省略--location標記。SECURITY_PROFILE_URL:url-filtering或threat-prevention類型安全設定檔的專屬網址 ID。您必須至少新增其中一個安全性設定檔。DESCRIPTION:安全性設定檔群組的選用說明。