本页面介绍如何使用 Google Cloud 控制台或 Google Cloud CLI 管理安全配置文件组。
如需检查本页面中列出的操作的进度,请确保您的用户角色具有以下 Compute Network User (roles/compute.networkUser) 权限:
networksecurity.operations.getnetworksecurity.operations.list
准备工作
- 您必须在项目中启用 Network Security API。
如果您要运行本指南中的
gcloud命令行示例,请安装 gcloud CLI。您需要有一个威胁防护安全配置文件或一个网址过滤安全配置文件。
角色
如需获得查看、更新或删除安全配置文件组所需的权限,请让您的管理员向您授予组织或项目的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
查看安全配置文件组
您可以查看组织或项目中特定安全配置文件组的详细信息。
组织级安全配置文件组
如需查看组织级安全配置文件组,请使用Google Cloud 控制台或 gcloud CLI。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
选择安全配置文件组以查看其详细信息。
gcloud
如需查看安全配置文件组的详细信息,请使用 gcloud
network-security security-profile-groups describe 命令:
gcloud network-security security-profile-groups describe NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID
替换以下内容:
NAME:安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:安全配置文件组所在的组织。如果您为NAME变量使用唯一网址标识符,则可以省略--organization标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为NAME变量使用唯一网址标识符,则可以省略--location标志。QUOTA_PROJECT_ID:用于安全配置文件组的配额和访问权限限制的可选项目 ID。
项目级安全配置文件组
如需查看项目级安全配置文件组,请使用 gcloud CLI。
gcloud
如需查看安全配置文件组的详细信息,请使用 gcloud
beta network-security security-profile-groups describe 命令:
gcloud beta network-security security-profile-groups describe NAME \
--project PROJECT_ID \
--location LOCATION
替换以下内容:
NAME:安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。PROJECT_ID:安全配置文件组所在的项目。如果您为NAME标志使用唯一网址标识符,则可以省略--project标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为NAME标志使用唯一网址标识符,则可以省略--location标志。
列出安全配置文件组
您可以列出组织或项目中的所有安全配置文件组。
组织级安全配置文件组
如需列出所有组织级安全配置文件组,请使用Google Cloud 控制台或 gcloud CLI。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
gcloud
如需列出安全配置文件组,请使用 gcloud network-security
security-profile-groups list 命令:
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project BILLING_PROJECT_ID
替换以下内容:
ORGANIZATION_ID:安全配置文件组所在的组织。如果您为NAME变量使用唯一网址标识符,则可以省略--organization标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为NAME变量使用唯一网址标识符,则可以省略--location标志。BILLING_PROJECT_ID:用于安全配置文件组结算的可选项目 ID。
项目级安全配置文件组
如需列出所有项目级安全配置文件组,请使用 gcloud CLI。
gcloud
如需列出安全配置文件组,请使用 gcloud network-security
security-profile-groups list 命令:
gcloud network-security security-profile-groups list \
--project PROJECT_ID \
--location LOCATION
替换以下内容:
PROJECT_ID:安全配置文件组所在的项目。LOCATION:安全配置文件组的位置。位置始终设置为
global。
更新安全配置文件组
您可以更新安全配置文件组中引用的安全配置文件名称。
组织级安全配置文件组
如需更新组织级安全配置文件组,请使用Google Cloud 控制台或 gcloud CLI。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
选择安全配置文件组,然后点击修改。
更新必填字段,然后点击保存。
gcloud
如需更新安全配置文件组,请使用 gcloud network-security
security-profile-groups update 命令:
gcloud network-security security-profile-groups update NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
--clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
--billing-project QUOTA_PROJECT_ID \
--description DESCRIPTION
替换以下内容:
NAME:您要更新的安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:安全配置文件组所在的组织。如果您为NAME变量使用唯一网址标识符,则可以省略--organization标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为NAME变量使用唯一网址标识符,则可以省略--location标志。SECURITY_PROFILE_URL:类型为url-filtering或threat-prevention的安全配置文件的唯一网址标识符。最多只能指定以下标志之一:
clear-threat-prevention-profile:清除 threat-prevention-profile 字段。threat-prevention-profile:使用threat-prevention类型安全配置文件的唯一网址标识符更新 threat-prevention-profile 字段。
同样,最多只能指定以下标志之一:
clear-url-filtering-profile:清除网址过滤配置文件字段。url-filtering-profile:使用url-filtering类型安全配置文件的唯一网址标识符更新 url-filtering-profile 字段。
QUOTA_PROJECT_ID:用于安全配置文件组的配额和访问权限限制的可选项目 ID。DESCRIPTION:安全配置文件组的可选说明。
项目级安全配置文件组
如需更新项目级安全配置文件组,请使用 gcloud CLI。
gcloud
如需更新安全配置文件组,请使用 gcloud beta network-security
security-profile-groups update 命令:
gcloud beta network-security security-profile-groups update NAME \
--project PROJECT_ID \
--location LOCATION \
--clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
--clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
替换以下内容:
NAME:您要更新的安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。PROJECT_ID:安全配置文件组所在的项目。如果您为NAME标志使用唯一网址标识符,则可以省略--project标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为NAME变量使用唯一网址标识符,则可以省略--location标志。SECURITY_PROFILE_URL:类型为url-filtering或threat-prevention的安全配置文件的唯一网址标识符。最多只能指定以下标志之一:
clear-threat-prevention-profile:清除 threat-prevention-profile 字段。threat-prevention-profile:使用threat-prevention类型安全配置文件的唯一网址标识符更新 threat-prevention-profile 字段。
同样,最多只能指定以下标志之一:
clear-url-filtering-profile:清除网址过滤配置文件字段。url-filtering-profile:使用url-filtering类型安全配置文件的唯一网址标识符更新 url-filtering-profile 字段。
DESCRIPTION:安全配置文件组的可选说明。
删除安全配置文件组
您可以通过指定安全配置文件组的名称、位置和组织或项目来删除它。但是,如果防火墙政策引用了安全配置文件,则无法删除该安全配置文件组。
组织级安全配置文件组
如需删除组织级安全配置文件组,请使用Google Cloud 控制台或 gcloud CLI。
控制台
在 Google Cloud 控制台中,前往安全配置文件页面。
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
选择安全配置文件组,然后点击删除。
再次点击删除进行确认。
gcloud
如需删除安全配置文件组,请使用 gcloud network-security
security-profile-groups delete 命令:
gcloud network-security security-profile-groups delete NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID
替换以下内容:
NAME:您要删除的安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:安全配置文件组所在的组织。如果您为NAME变量使用唯一网址标识符,则可以省略--organization标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为NAME变量使用唯一网址标识符,则可以省略--location标志。QUOTA_PROJECT_ID:用于安全配置文件组的配额和访问权限限制的可选项目 ID。
项目级安全配置文件组
如需删除项目级安全配置文件组,请使用 gcloud CLI。
gcloud
如需删除安全配置文件组,请使用 gcloud beta network-security
security-profile-groups delete 命令:
gcloud beta network-security security-profile-groups delete NAME \
--project PROJECT_ID \
--location LOCATION
替换以下内容:
NAME:您要删除的安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。PROJECT_ID:安全配置文件组所在的项目。如果您为NAME变量使用唯一网址标识符,则可以省略--project标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为NAME变量使用唯一网址标识符,则可以省略--location标志。