Sicherheitsprofilgruppen erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Sie Sicherheitsprofilgruppen mit einem benutzerdefinierten Abfang-Sicherheitsprofil erstellen und verwalten.

Hinweis

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen Identity and Access Management (IAM)-Rollen in Ihrer Organisation oder Ihrem Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilgruppen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihre Nutzerrolle die folgenden Berechtigungen der Rolle „Compute Network User“ (roles/compute.networkUser) haben:

  • networksecurity.operations.get
  • networksecurity.operations.list

Sicherheitsprofilgruppe erstellen

Sie können Sicherheitsprofilgruppen auf Organisations- oder Projektebene erstellen (Vorabversion). Wir empfehlen, die Sicherheitsprofilgruppe in einem Projekt zu erstellen, das Ihrem Sicherheitsadministrator gehört.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf Profilgruppe erstellen.

  4. Geben Sie unter Name den Namen der Sicherheitsprofilgruppe ein.

  5. Wählen Sie als Zweck der Sicherheitsprofilgruppe die Option NSI in-band aus.

  6. Wählen Sie für Benutzerdefiniertes Abfangprofil das benutzerdefinierte Sicherheitsprofil für die In-Band-Integration aus.

  7. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups create-Befehl:

gcloud network-security security-profile-groups create SECURITY_PROFILE_GROUP_NAME \
    --custom-intercept-profile CUSTOM_INTERCEPT_PROFILE_ID \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • CUSTOM_INTERCEPT_PROFILE_ID: die ID des benutzerdefinierten Sicherheitsprofils für das Abfangen.

  • ORGANIZATION_ID: Ihre Organisations-ID. Mit diesem Flag können Sie eine Sicherheitsprofilgruppe auf Organisationsebene erstellen.

  • PROJECT_ID: Ihre Projekt-ID. Mit diesem Flag können Sie eine Sicherheitsprofilgruppe auf Projektebene erstellen (Vorschau).

    Das --project-Flag ist in der Vorschau verfügbar. Verwenden Sie den Befehl gcloud beta network-security security-profile-groups create, um dieses Flag zu verwenden.

  • QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Terraform

Zum Erstellen einer Sicherheitsprofilgruppe können Sie eine google_network_security_security_profile_group-Ressource verwenden.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_intercept_profile = google_network_security_security_profile.default.id
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Sicherheitsprofilgruppe auflisten und Details ansehen

Sie können Sicherheitsprofilgruppen in einer Organisation oder einem Projekt (Vorabversion) auflisten und die Details einer Gruppe aufrufen, z. B. den Namen und das benutzerdefinierte Abfangprofil.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus. Auf dem Tab werden alle Sicherheitsprofilgruppen aufgeführt.

  3. Klicken Sie auf dem Tab Sicherheitsprofilgruppen auf den Namen der Sicherheitsprofilgruppe, um die Details aufzurufen.

gcloud

Verwenden Sie den gcloud network-security security-profile-groups list-Befehl, um Sicherheitsprofilgruppen aufzulisten:

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID]

Wenn Sie die Details einer Sicherheitsprofilgruppe aufrufen möchten, verwenden Sie den gcloud network-security security-profile-groups describe-Befehl:

gcloud network-security security-profile-groups describe SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: der Name der Sicherheitsprofilgruppe.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • ORGANIZATION_ID: die Organisations-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

  • PROJECT_ID: Ihre Projekt-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

    Das --project-Flag ist in der Vorschau verfügbar. Verwenden Sie den Befehl gcloud beta network-security security-profile-groups describe, um dieses Flag zu verwenden.

  • QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

In der Ausgabe werden die Namen von Sicherheitsprofilgruppen in den folgenden Formaten angezeigt:

  • Sicherheitsprofilgruppen auf Organisationsebene: organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
  • Sicherheitsprofilgruppen auf Projektebene (Vorabversion): projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

Sicherheitsprofilgruppe löschen

Bevor Sie eine Sicherheitsprofilgruppe löschen, müssen Sie das benutzerdefinierte Sicherheits-Intercept-Profil löschen, in dem auf die Sicherheitsprofilgruppe verwiesen wird.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofilgruppen auf.

    Zu „Sicherheitsprofilgruppen“

  2. Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus.

  3. Wählen Sie auf dem Tab Sicherheitsprofilgruppen das Kästchen der Sicherheitsprofilgruppe aus und klicken Sie auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Sicherheitsprofilgruppe den gcloud network-security security-profile-groups delete-Befehl:

gcloud network-security security-profile-groups delete SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Ersetzen Sie Folgendes:

  • SECURITY_PROFILE_GROUP_NAME: Der Name der Sicherheitsprofilgruppe, die Sie löschen möchten.

    Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.

  • ORGANIZATION_ID: die Organisations-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

  • PROJECT_ID: Ihre Projekt-ID, in der die Sicherheitsprofilgruppe vorhanden ist.

    Das --project-Flag ist in der Vorschau verfügbar. Verwenden Sie den Befehl gcloud beta network-security security-profile-groups delete, um dieses Flag zu verwenden.

  • QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofilgruppen auf Organisationsebene.

Nächste Schritte