Sicherheitsprofilgruppen erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie Sicherheitsprofilgruppen mit einem benutzerdefinierten Sicherheitsprofil mit der Google Cloud CLI erstellen und verwalten.

Hinweis

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihre Nutzerrolle die folgenden Berechtigungen der Rolle Compute-Netzwerknutzer (roles/compute.networkUser) haben:

  • networksecurity.operations.get
  • networksecurity.operations.list

Sicherheitsprofilgruppe mit benutzerdefiniertem Profil erstellen

Sie können Sicherheitsprofilgruppen auf Organisations- oder Projektebene erstellen (Vorabversion). Sie können eine Sicherheitsprofilgruppe nur mit einem Sicherheitsprofil vom Typ CUSTOM_MIRRORING erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf Profilgruppe erstellen.

  4. Geben Sie unter Name den Namen der Sicherheitsprofilgruppe ein.

  5. Wählen Sie als Zweck der Sicherheitsprofilgruppe die Option NSI out-of-band aus.

  6. Wählen Sie für Benutzerdefiniertes Spiegelungsprofil das benutzerdefinierte Sicherheitsprofil für die In-Band-Integration aus.

  7. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups create-Befehl:

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • CUSTOM_MIRRORING_PROFILE_NAME: der Name des benutzerdefinierten Sicherheitsprofils für die Spiegelung.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

  • ORGANIZATION_ID: Ihre Organisations-ID. Mit diesem Flag können Sie eine Sicherheitsprofilgruppe auf Organisationsebene erstellen.

  • PROJECT_ID: Ihre Projekt-ID. Mit diesem Flag können Sie eine Sicherheitsprofilgruppe auf Projektebene erstellen (Vorschau).

    Das --project-Flag ist in der Vorschau verfügbar. Verwenden Sie den Befehl gcloud beta network-security security-profile-groups create, um dieses Flag zu verwenden.

  • QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Terraform

Zum Erstellen einer Sicherheitsprofilgruppe können Sie eine google_network_security_security_profile_group-Ressource verwenden.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Sicherheitsprofilgruppe auflisten und Details ansehen

Sie können Sicherheitsprofilgruppen in einer Organisation oder einem Projekt (Vorabversion) auflisten und die Details einer Gruppe aufrufen, z. B. den Namen und das benutzerdefinierte Abfangprofil.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus. Auf dem Tab werden alle Sicherheitsprofilgruppen aufgeführt.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf den Namen der Sicherheitsprofilgruppe, um die Details aufzurufen.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups list-Befehl, um benutzerdefinierte Sicherheitsprofilgruppen für das Spiegeln aufzulisten:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE \
    [--billing-project QUOTA_PROJECT_ID]

Wenn Sie die Details einer Sicherheitsprofilgruppe aufrufen möchten, verwenden Sie den gcloud network-security security-profile-groups describe-Befehl:

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID | --project PROJECT_ID \
     --location=global \
     [--billing-project QUOTA_PROJECT_ID]

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • CUSTOM_MIRRORING_PROFILE: Das benutzerdefinierte Sicherheitsprofil für die Spiegelung, nach dem gefiltert werden soll.

  • ORGANIZATION_ID: die Organisations-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

  • PROJECT_ID: Ihre Projekt-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

    Das --project-Flag ist in der Vorschau verfügbar. Verwenden Sie den Befehl gcloud beta network-security security-profile-groups describe, um dieses Flag zu verwenden.

  • QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Sicherheitsprofilgruppe aktualisieren

Sie können die Beschreibung und die Labels des Sicherheitsprofils aktualisieren, auf das in einer Sicherheitsprofilgruppe verwiesen wird.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus.

  3. Klicken Sie auf Ihre Sicherheitsprofilgruppe.

  4. Klicken Sie auf Bearbeiten.

  5. Klicken Sie nach dem Bearbeiten der Regel auf Speichern.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups update-Befehl, um eine Sicherheitsprofilgruppe zu aktualisieren:

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    --description DESCRIPTION

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe, die Sie aktualisieren möchten.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • ORGANIZATION_ID: die Organisations-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

  • PROJECT_ID: Ihre Projekt-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

    Das --project-Flag ist in der Vorschau verfügbar. Verwenden Sie den Befehl gcloud beta network-security security-profile-groups update, um dieses Flag zu verwenden.

  • DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.

Sicherheitsprofilgruppe löschen

Sie können eine Sicherheitsprofilgruppe löschen, indem Sie ihren Namen, ihren Standort und ihre Organisation angeben. Wenn jedoch eine Netzwerk-Firewallrichtlinie auf ein benutzerdefiniertes Sicherheitsprofil verweist, kann diese Sicherheitsprofilgruppe nicht gelöscht werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen das Kästchen der Sicherheitsprofilgruppe an, die Sie löschen möchten, und klicken Sie dann auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups delete-Befehl:

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location=global \
    [--billing-project QUOTA_PROJECT_ID]

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: Der Name der Sicherheitsprofilgruppe, die Sie löschen möchten.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • ORGANIZATION_ID: die Organisations-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

  • PROJECT_ID: Ihre Projekt-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

    Das --project-Flag ist in der Vorschau verfügbar. Verwenden Sie den Befehl gcloud beta network-security security-profile-groups delete, um dieses Flag zu verwenden.

  • QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Nächste Schritte