Auf dieser Seite wird erläutert, wie Sie Sicherheitsprofilgruppen mit einem benutzerdefinierten Sicherheitsprofil mithilfe der Google Cloud CLI erstellen und verwalten.
Hinweis
- Sie müssen die Network Connectivity API in Ihrem Projekt aktivieren.
Installieren Sie die gcloud CLI, wenn Sie die
gcloudBefehlszeilenbeispiele in dieser Anleitung ausführen möchten.Sie benötigen ein benutzerdefiniertes Spiegelungssicherheitsprofil.
Rollen
Bitten Sie Ihren Administrator, Ihnen die erforderlichen Identity and Access Management-Rollen (IAM) in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss
Ihre Nutzerrolle die folgenden
Berechtigungen der Nutzerrolle „Compute Network“
(roles/compute.networkUser) haben:
networksecurity.operations.getnetworksecurity.operations.list
Sicherheitsprofilgruppe mit benutzerdefiniertem Profil erstellen
Sie können Sicherheitsprofilgruppen auf Organisations- oder Projektebene erstellen. Sie können nur eine Sicherheitsprofilgruppe mit einem Sicherheitsprofil vom Typ CUSTOM_MIRRORING erstellen.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.
Wählen Sie im Menü zur Projektauswahl Ihre Organisation oder das Projekt aus.
Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf Profilgruppe erstellen.
Geben Sie unter Name den Namen der Sicherheitsprofilgruppe ein.
Wählen Sie unter Zweck der Sicherheitsprofilgruppe die Option NSI out-of-band aus.
Wählen Sie unter Benutzerdefiniertes Spiegelungsprofil das benutzerdefinierte Sicherheitsprofil für die In-Band-Integration aus.
Klicken Sie auf Erstellen.
gcloud
Verwenden Sie zum Erstellen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups create-Befehl:
gcloud network-security security-profile-groups \
create SECURITY_PROFILE_GROUP_NAME \
--custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
--description DESCRIPTION \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
Ersetzen Sie Folgendes:
SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID, müssen Sie die Organisation oder den Projektnamen und den Standort angeben.
CUSTOM_MIRRORING_PROFILE_NAME: der Name des benutzerdefinierten Spiegelungssicherheitsprofils.DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.ORGANIZATION_ID: Ihre Organisations-ID. Verwenden Sie dieses Flag, um eine Sicherheitsprofilgruppe auf Organisationsebene zu erstellen.PROJECT_ID: Ihre Projekt-ID. Verwenden Sie dieses Flag, um eine Sicherheitsprofilgruppe auf Projektebene zu erstellen.QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.
Terraform
Verwenden Sie die Ressource google_network_security_security_profile_group, um eine Sicherheitsprofilgruppe zu erstellen.
Im folgenden Beispiel wird gezeigt, wie Sie eine Sicherheitsprofilgruppe auf Organisationsebene erstellen:
Im folgenden Beispiel wird gezeigt, wie Sie eine Sicherheitsprofilgruppe auf Projektebene erstellen:
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Details einer Sicherheitsprofilgruppe auflisten und ansehen
Sie können Sicherheitsprofilgruppen in einer Organisation oder einem Projekt auflisten und die Details einer Gruppe aufrufen, z. B. den Namen und das benutzerdefinierte Abfangprofil.
Console
Rufen Sie in der Google Cloud Console die Sicherheitsprofilgruppen Seite auf.
Wählen Sie im Menü zur Projektauswahl Ihre Organisation oder das Projekt aus. Auf dem Tab werden alle Sicherheitsprofilgruppen aufgeführt.
Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf den Namen der Sicherheitsprofilgruppe, um die Details aufzurufen.
gcloud
Verwenden Sie den
gcloud network-security security-profile-groups list Befehl, um benutzerdefinierte Spiegelungssicherheitsprofilgruppen aufzulisten:
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
--filter CUSTOM_MIRRORING_PROFILE \
[--billing-project QUOTA_PROJECT_ID]
Wenn Sie die Details einer Sicherheitsprofilgruppe aufrufen möchten, verwenden Sie den
gcloud network-security security-profile-groups describe Befehl:
gcloud network-security security-profile-groups \
describe SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
Ersetzen Sie Folgendes:
SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID, müssen Sie die Organisation oder den Projektnamen und den Standort angeben.
ORGANIZATION_ID: Ihre Organisations-ID, in der sich die Sicherheitsprofilgruppe befindet.PROJECT_ID: Ihre Projekt-ID, in der sich die Sicherheitsprofilgruppe befindet.QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.
Sicherheitsprofilgruppe aktualisieren
Sie können die Beschreibung und Labels des Sicherheitsprofils aktualisieren, auf das in einer Sicherheitsprofilgruppe verwiesen wird.
Console
Rufen Sie in der Google Cloud Console die Sicherheitsprofilgruppen Seite auf.
Wählen Sie im Menü zur Projektauswahl Ihre Organisation oder das Projekt aus.
Klicken Sie auf Ihre Sicherheitsprofilgruppe.
Klicken Sie auf Bearbeiten.
Klicken Sie nach dem Bearbeiten der Regel auf Speichern.
gcloud
Verwenden Sie den gcloud network-security security-profile-groups update-Befehl, um eine Sicherheitsprofilgruppe zu aktualisieren:
gcloud network-security security-profile-groups \
update SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
--description DESCRIPTION
Ersetzen Sie Folgendes:
SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe, die Sie aktualisieren möchten.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID, müssen Sie die Organisation oder den Projektnamen und den Standort angeben.
ORGANIZATION_ID: Ihre Organisations-ID, in der sich die Sicherheitsprofilgruppe befindet.PROJECT_ID: Ihre Projekt-ID, in der sich die Sicherheitsprofilgruppe befindet.DESCRIPTION: Eine optionale Beschreibung für die Sicherheitsprofilgruppe.
Sicherheitsprofilgruppe löschen
Sie können eine Sicherheitsprofilgruppe löschen, indem Sie ihren Namen, ihren Standort und ihre Organisation angeben. Wenn jedoch eine Netzwerk-Firewallrichtlinie auf ein benutzerdefiniertes Sicherheitsprofil verweist, kann diese Sicherheitsprofilgruppe nicht gelöscht werden.
Console
Rufen Sie in der Google Cloud Console die Sicherheitsprofilgruppen Seite auf.
Wählen Sie im Menü zur Projektauswahl Ihre Organisation oder das Projekt aus.
Wählen Sie auf dem Tab Sicherheitsprofilgruppen das Kästchen der Sicherheitsprofilgruppe aus, die Sie löschen möchten, und klicken Sie dann auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups delete-Befehl:
gcloud network-security security-profile-groups \
delete SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
Ersetzen Sie Folgendes:
SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe, die Sie löschen möchten.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID, müssen Sie die Organisation oder den Projektnamen und den Standort angeben.
ORGANIZATION_ID: Ihre Organisations-ID, in der sich die Sicherheitsprofilgruppe befindet.PROJECT_ID: Ihre Projekt-ID, in der sich die Sicherheitsprofilgruppe befindet.QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.
Nächste Schritte
- Spiegelungsendpunktgruppen erstellen und verwalten
- Sicherheitsprofilgruppen
- Benutzerdefinierte Spiegelungssicherheitsprofile erstellen und verwalten