此页面由 Cloud Translation API 翻译。

创建和管理安全配置文件组

本页面介绍如何使用 Google Cloud 控制台或 Google Cloud CLI 创建和管理安全配置文件组。

注意：如需检查本页面中列出的操作的进度，请确保您的用户角色具有以下 Compute Network User 角色 (roles/compute.networkUser) 权限：

networksecurity.operations.get
networksecurity.operations.list

准备工作

您必须在项目中启用 Network Security API。
如果您要运行本指南中的 gcloud 命令行示例，请安装 gcloud CLI。
您需要有威胁防护安全配置文件或网址过滤安全配置文件。

角色

如需获得创建、查看、更新或删除安全配置文件组所需的权限，请让您的管理员向您授予组织的必要 IAM 角色。如需详细了解如何授予角色，请参阅管理访问权限。

创建安全配置文件组

每个安全配置文件组最多可以包含以下每种类型的一个安全配置文件：

url-filtering
threat-prevention

创建安全配置文件组时，您可以将安全配置文件组的名称指定为字符串或唯一网址标识符。组织级安全配置文件组的唯一网址可以按以下格式构建：

organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

如果您为安全配置文件组名称使用唯一网址标识符，则安全配置文件组的组织和位置已包含在网址标识符中。但是，如果您只使用安全配置文件组名称，则必须单独指定组织和位置。如需详细了解唯一网址标识符，请参阅安全配置文件组规范。

执行此任务所需的权限

如需执行此任务，您必须已被授予组织的以下权限或以下某个 IAM 角色。

权限

networksecurity.securityProfileGroups.create

角色

Security Profile Admin (roles/networksecurity.securityProfileAdmin)

控制台

在 Google Cloud 控制台中，前往安全配置文件页面。

前往“安全配置文件”
在项目选择器菜单中，选择您的组织。
选择安全配置文件组标签页。

配置安全配置文件组：

点击创建配置文件组。
在名称字段中输入名称。
请勿在安全配置文件组名称中包含敏感信息，例如个人身份信息或安全数据。
可选：在说明字段中输入说明。
在威胁防护配置文件列表或 网址过滤配置文件列表中，选择要添加到此安全配置文件组的安全配置文件。
点击创建。

gcloud

如需创建安全配置文件组，请使用 gcloud network-security security-profile-groups create 命令：

gcloud network-security security-profile-groups create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    --url-filtering-profile SECURITY_PROFILE_URL \
    --threat-prevention-profile SECURITY_PROFILE_URL \
    --description DESCRIPTION

替换以下内容：

NAME：安全配置文件组的名称；您可以将名称指定为字符串或唯一网址标识符。
请勿在安全配置文件组名称中包含敏感信息，例如个人身份信息或安全数据。
ORGANIZATION_ID：创建安全配置文件组的组织。如果您为 name 标志使用唯一网址标识符，则可以省略 organization 标志。
LOCATION：安全配置文件组的位置。

位置始终设置为 global。如果您为 name 标志使用唯一网址标识符，则可以省略 location 标志。
PROJECT_ID：用于安全配置文件组的配额和访问权限限制的可选项目 ID。
SECURITY_PROFILE_URL：类型为 url-filtering 或 threat-prevention 的安全配置文件的唯一网址标识符。您必须添加至少一个此类安全配置文件。
DESCRIPTION：安全配置文件组的可选说明。

查看安全配置文件组

您可以查看组织中特定安全配置文件组的详细信息。

执行此任务所需的权限

如需执行此任务，您必须已被授予组织的以下权限或以下某个 IAM 角色。

权限

networksecurity.securityProfileGroups.get

角色

Security Profile Admin (roles/networksecurity.securityProfileAdmin)

控制台

在 Google Cloud 控制台中，前往安全配置文件页面。

前往“安全配置文件”
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
选择安全配置文件组以查看其详细信息。

gcloud

如需查看安全配置文件组的详细信息，请使用 gcloud network-security security-profile-groups describe 命令：

gcloud network-security security-profile-groups describe NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

替换以下内容：

NAME：安全配置文件组的名称；您可以将名称指定为字符串或唯一网址标识符。
ORGANIZATION_ID：创建安全配置文件组的组织。如果您为 name 标志使用唯一网址标识符，则可以省略 organization 标志。
LOCATION：安全配置文件组的位置。

位置始终设置为 global。如果您为 name 标志使用唯一网址标识符，则可以省略 location 标志。
PROJECT_ID：用于安全配置文件组的配额和访问权限限制的可选项目 ID。

列出安全配置文件组

您可以列出组织中的所有安全配置文件组。

执行此任务所需的权限

如需执行此任务，您必须已被授予组织的以下权限或以下某个 IAM 角色。

权限

networksecurity.securityProfileGroups.list

角色

Security Profile Admin (roles/networksecurity.securityProfileAdmin)

控制台

在 Google Cloud 控制台中，前往安全配置文件页面。

前往“安全配置文件”
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。

gcloud

如需列出安全配置文件组，请使用 gcloud network-security security-profile-groups list 命令：

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project PROJECT_ID

替换以下内容：

ORGANIZATION_ID：创建安全配置文件组的组织。如果您为 name 标志使用唯一网址标识符，则可以省略 organization 标志。
LOCATION：安全配置文件组的位置。

位置始终设置为 global。如果您为 name 标志使用唯一网址标识符，则可以省略 location 标志。
PROJECT_ID：用于安全配置文件组结算的可选项目 ID。

更新安全配置文件组

您可以更新安全配置文件组中引用的安全配置文件名称。

执行此任务所需的权限

如需执行此任务，您必须已被授予组织的以下权限或以下某个 IAM 角色。

权限

networksecurity.securityProfileGroups.update

角色

Security Profile Admin (roles/networksecurity.securityProfileAdmin)

控制台

在 Google Cloud 控制台中，前往安全配置文件页面。

前往“安全配置文件”
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
选择安全配置文件组，然后点击修改。
更新必填字段，然后点击保存。

gcloud

如需更新安全配置文件组，请使用 gcloud network-security security-profile-groups update 命令：

gcloud network-security security-profile-groups update NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
    --clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
    --project PROJECT_ID \
    --description DESCRIPTION

替换以下内容：

NAME：您要更新的安全配置文件组的名称；您可以将名称指定为字符串或唯一网址标识符。
ORGANIZATION_ID：创建安全配置文件组的组织。如果您为 name 标志使用唯一网址标识符，则可以省略 organization 标志。
LOCATION：安全配置文件组的位置。

位置始终设置为 global。如果您为 name 标志使用唯一网址标识符，则可以省略 location 标志。
SECURITY_PROFILE_URL：类型为 url-filtering 或 threat-prevention 的安全配置文件的唯一网址标识符。

最多只能指定以下标志之一：
- clear-threat-prevention-profile：清除 threat-prevention-profile 字段。
- threat-prevention-profile：使用 threat-prevention 类型的安全配置文件的唯一网址标识符更新 threat-prevention-profile 字段。
同样，最多只能指定以下标志之一：
- clear-url-filtering-profile：清除网址过滤配置文件字段。
- url-filtering-profile：使用 url-filtering 类型安全配置文件的唯一网址标识符更新 url-filtering-profile 字段。
PROJECT_ID：用于安全配置文件组的配额和访问权限限制的可选项目 ID。
DESCRIPTION：安全配置文件组的可选说明。

删除安全配置文件组

您可以通过指定安全配置文件组的名称、位置和组织来删除它。但是，如果防火墙政策引用了安全配置文件，则无法删除该安全配置文件组。

执行此任务所需的权限

如需执行此任务，您必须已被授予组织的以下权限或以下某个 IAM 角色。

权限

networksecurity.securityProfileGroups.delete

角色

Security Profile Admin (roles/networksecurity.securityProfileAdmin)

控制台

在 Google Cloud 控制台中，前往安全配置文件页面。

前往“安全配置文件”
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
选择安全配置文件组，然后点击删除。
再次点击删除进行确认。

gcloud

如需删除安全配置文件组，请使用 gcloud network-security security-profile-groups delete 命令：

gcloud network-security security-profile-groups delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --billing-project PROJECT_ID

替换以下内容：

NAME：您要删除的安全配置文件组的名称；您可以将名称指定为字符串或唯一网址标识符。
ORGANIZATION_ID：创建安全配置文件组的组织。如果您为 name 标志使用唯一网址标识符，则可以省略 organization 标志。
LOCATION：安全配置文件组的位置。

位置始终设置为 global。如果您为 name 标志使用唯一网址标识符，则可以省略 location 标志。
PROJECT_ID：用于安全配置文件组的配额和访问权限限制的可选项目 ID。

后续步骤

创建和管理防火墙端点

创建和管理安全配置文件组 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

准备工作

角色

创建安全配置文件组

执行此任务所需的权限

控制台

gcloud

查看安全配置文件组

执行此任务所需的权限

控制台

gcloud

列出安全配置文件组

执行此任务所需的权限

控制台

gcloud

更新安全配置文件组

执行此任务所需的权限

控制台

gcloud

删除安全配置文件组

执行此任务所需的权限

控制台

gcloud

后续步骤

创建和管理安全配置文件组