本页面介绍如何使用 Google Cloud CLI 创建和管理具有自定义安全配置文件的安全配置文件组。
准备工作
- 您必须在项目中启用 Network Security API。
如果您要运行本指南中的
gcloud命令行示例,请安装 gcloud CLI。您必须拥有自定义镜像安全配置文件。
角色
如需获得创建、查看、更新或删除安全配置文件组所需的权限,请让您的管理员向您授予组织的必要 Identity and Access Management (IAM) 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
如需检查本页面中列出的操作的进度,请确保您的用户角色具有以下 Compute Network User 角色 (roles/compute.networkUser) 权限:
networksecurity.operations.getnetworksecurity.operations.list
创建包含自定义配置文件的安全配置文件组
您只能创建包含 CUSTOM_MIRRORING 类型安全配置文件的安全配置文件组。
创建安全配置文件组时,您可以将安全配置文件组的名称指定为字符串或唯一网址标识符。 组织级安全配置文件组的唯一网址可以按以下格式构建:
organizations/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
替换以下内容:
ORGANIZATION_ID:组织的 ID。LOCATION:安全配置文件组的范围。 位置始终设置为global。SECURITY_PROFILE_GROUP_NAME:安全配置文件组的名称。
如果您为安全配置文件组名称使用唯一网址标识符,则安全配置文件组的组织和位置已包含在网址标识符中。但是,如果您只使用安全配置文件组名称,则必须单独指定组织和位置。如需详细了解唯一网址标识符,请参阅规范。
控制台
在 Google Cloud 控制台中,前往安全配置文件组页面。
从项目选择器中选择您的组织。
在安全配置文件组标签页中,点击创建配置文件组。
在名称字段中,输入安全配置文件组的名称。
对于安全配置文件组用途,选择 NSI 带外。
对于自定义镜像配置文件,请选择带内集成的自定义安全配置文件。
点击创建。
gcloud
如需创建安全配置文件组,请使用 gcloud network-security security-profile-groups create 命令:
gcloud network-security security-profile-groups \
create SECURITY_PROFILE_GROUP_NAME \
--custom-mirroring-profile CUSTOM_MIRROING_PROFILE_NAME \
--description DESCRIPTION \
--organization ORGANIZATION_ID \
--location=global \
--billing-project PROJECT_ID
替换以下内容:
SECURITY_PROFILE_GROUP_NAME:安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。CUSTOM_MIRRORING_PROFILE_NAME:自定义镜像安全配置文件的名称。DESCRIPTION:安全配置文件组的可选说明。ORGANIZATION_ID:在其中创建安全配置文件组的组织。PROJECT_ID:用于安全配置文件组的配额和访问权限限制的项目 ID。
Terraform
如需创建安全配置文件组,您可以使用 google_network_security_security_profile_group 资源。
如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令。
查看安全配置文件组
您可以查看组织中特定安全配置文件组的详细信息。
控制台
在 Google Cloud 控制台中,前往安全配置文件组页面。
从项目选择器中选择您的组织。
在安全配置文件组标签页上,点击安全配置文件组的名称。
gcloud
如需查看安全配置文件组的详细信息,请使用 gcloud network-security security-profile-groups describe 命令:
gcloud network-security security-profile-groups \
describe SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID \
--location=global \
--billing-project PROJECT_ID
替换以下内容:
SECURITY_PROFILE_GROUP_NAME:安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:在其中创建安全配置文件组的组织。PROJECT_ID:用于安全配置文件组的配额和访问权限限制的项目 ID。
列出安全配置文件组
您可以列出组织中的所有自定义镜像安全配置文件组。
控制台
在 Google Cloud 控制台中,前往安全配置文件组页面。
从项目选择器中选择您的组织。
在安全配置文件组标签页中,您可以查看安全配置文件组的列表。
gcloud
如需列出自定义镜像安全配置文件组,请使用 gcloud network-security security-profile-groups list 命令:
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID \
--location=global \
--filter CUSTOM_MIRRORING_PROFILE
--billing-project PROJECT_ID
替换以下内容:
ORGANIZATION_ID:在其中创建安全配置文件组的组织。CUSTOM_MIRRORING_PROFILE:已定义custom_mirroring_profile的配置文件组的名称。PROJECT_ID:用于安全配置文件组结算的项目 ID。
更新安全配置文件组
您可以更新安全配置文件组中引用的安全配置文件的说明和标签。
控制台
在 Google Cloud 控制台中,前往安全配置文件组页面。
从项目选择器中选择您的组织。
点击您的安全配置文件组。
点击修改。
修改规则后,点击保存。
gcloud
如需更新安全配置文件组,请使用 gcloud network-security security-profile-groups update 命令:
gcloud network-security security-profile-groups \
update SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID \
--location=global \
--description DESCRIPTION
替换以下内容:
SECURITY_PROFILE_GROUP_NAME:您要更新的安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:在其中创建安全配置文件组的组织。DESCRIPTION:安全配置文件组的可选说明。
删除安全配置文件组
您可以通过指定安全配置文件组的名称、位置和组织来删除它。不过,如果网络防火墙政策引用了自定义安全配置文件,则无法删除该安全配置文件组。
控制台
在 Google Cloud 控制台中,前往安全配置文件组页面。
从项目选择器中选择您的组织。
在安全配置文件组标签页中,选中要删除的安全配置文件组对应的复选框,然后点击删除。
再次点击删除进行确认。
gcloud
如需删除安全配置文件组,请使用 gcloud network-security security-profile-groups delete 命令:
gcloud network-security security-profile-groups \
delete SECURITY_PROFILE_GROUP_NAME \
--custom-profile CUSTOM_PROFILE_NAME \
--organization ORGANIZATION_ID \
--location-global \
--billing-project PROJECT_ID
替换以下内容:
SECURITY_PROFILE_GROUP_NAME:您要删除的安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。CUSTOM_PROFILE_NAME:自定义安全配置文件的名称。ORGANIZATION_ID:在其中创建安全配置文件组的组织。PROJECT_ID:用于安全配置文件组的配额和访问权限限制的项目 ID。