Créer et gérer des groupes de profils de sécurité

Cette page explique comment créer et gérer des groupes de profils de sécurité avec un profil de sécurité d'interception personnalisé.

Avant de commencer

Rôles

Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des groupes de profils de sécurité, demandez à votre administrateur de vous accorder les rôles Identity and Access Management (IAM) requis sur votre organisation ou votre projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Pour vérifier la progression des opérations répertoriées sur cette page, assurez-vous que votre rôle utilisateur dispose des autorisations du rôle d'utilisateur de réseau de Compute (roles/compute.networkUser) :

  • networksecurity.operations.get
  • networksecurity.operations.list

Créer un groupe de profils de sécurité

Vous pouvez créer des groupes de profils de sécurité au niveau de l'organisation ou du projet (aperçu). Nous vous recommandons de créer le groupe de profils de sécurité dans un projet appartenant à votre administrateur de la sécurité.

Console

  1. Dans la Google Cloud console, accédez à la page **Groupes de profils de sécurité**.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (aperçu).

  3. Dans l'onglet Groupes de profils de sécurité, cliquez sur Créer un groupe de profils.

  4. Dans le champ Nom, saisissez le nom du groupe de profils de sécurité.

  5. Dans le champ Objectif du groupe de profils de sécurité, sélectionnez NSI in-band.

  6. Dans le champ Profil d'interception personnalisé, sélectionnez le profil de sécurité personnalisé pour l'intégration in-band.

  7. Cliquez sur Créer.

gcloud

Pour créer un groupe de profils de sécurité, exécutez la gcloud network-security security-profile-groups create commande :

gcloud network-security security-profile-groups create SECURITY_PROFILE_GROUP_NAME \
    --custom-intercept-profile CUSTOM_INTERCEPT_PROFILE_ID \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME: nom du groupe de profils de sécurité.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier le nom de l'organisation ou du projet, ainsi que l'emplacement.

  • CUSTOM_INTERCEPT_PROFILE_ID: ID du profil de sécurité d'interception personnalisé.

  • ORGANIZATION_ID : ID de votre organisation. Utilisez cet indicateur pour créer un groupe de profils de sécurité au niveau de l'organisation.

  • PROJECT_ID : ID du projet. Utilisez cet indicateur pour créer un groupe de profils de sécurité au niveau du projet (aperçu).

    L'indicateur --project est disponible dans (aperçu). Pour l'utiliser, exécutez la gcloud beta network-security security-profile-groups create commande.

  • QUOTA_PROJECT_ID : ID de votre projet de quota. N'utilisez cet indicateur que pour les groupes de profils de sécurité au niveau de l'organisation.

Terraform

Pour créer un groupe de profils de sécurité, vous pouvez utiliser une google_network_security_security_profile_group ressource.

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_intercept_profile = google_network_security_security_profile.default.id
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.

Lister et afficher les détails d'un groupe de profils de sécurité

Vous pouvez lister les groupes de profils de sécurité dans une organisation ou un projet (aperçu), et afficher les détails d'un groupe, tels que son nom et son profil d'interception personnalisé.

Console

  1. Dans la Google Cloud console, accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (aperçu). L'onglet liste tous les groupes de profils de sécurité.

  3. Dans l'onglet Groupes de profils de sécurité, cliquez sur le nom du groupe de profils de sécurité pour afficher ses détails.

gcloud

Pour lister les groupes de profils de sécurité, exécutez la gcloud network-security security-profile-groups list commande :

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID]

Pour afficher les détails d'un groupe de profils de sécurité, exécutez la gcloud network-security security-profile-groups describe commande :

gcloud network-security security-profile-groups describe SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME: nom du groupe de profils de sécurité.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier le nom de l'organisation ou du projet, ainsi que l'emplacement.

  • ORGANIZATION_ID: ID de votre organisation où se trouve le groupe de profils de sécurité.

  • PROJECT_ID: ID du projet où se trouve le groupe de profils de sécurité.

    L'indicateur --project est disponible dans (aperçu). Pour l'utiliser, exécutez la gcloud beta network-security security-profile-groups describe commande.

  • QUOTA_PROJECT_ID : ID de votre projet de quota. N'utilisez cet indicateur que pour les groupes de profils de sécurité au niveau de l'organisation.

La sortie affiche les noms des groupes de profils de sécurité aux formats suivants :

  • Groupes de profils de sécurité au niveau de l'organisation : organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
  • Groupes de profils de sécurité au niveau du projet (aperçu) : projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

Supprimer un groupe de profils de sécurité

Avant de supprimer un groupe de profils de sécurité, supprimez le profil de sécurité d'interception personnalisé qui le référence.

Console

  1. Dans la Google Cloud console, accédez à la page Groupes de profils de sécurité.

    Accéder à la page "Groupes de profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (aperçu).

  3. Dans l'onglet Groupes de profils de sécurité , cochez la case du groupe de profils de sécurité, puis cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

gcloud

Pour supprimer un groupe de profils de sécurité, exécutez la gcloud network-security security-profile-groups delete commande :

gcloud network-security security-profile-groups delete SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Remplacez les éléments suivants :

  • SECURITY_PROFILE_GROUP_NAME: nom du groupe de profils de sécurité que vous souhaitez supprimer.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier le nom de l'organisation ou du projet, ainsi que l'emplacement.

  • ORGANIZATION_ID: ID de votre organisation où se trouve le groupe de profils de sécurité.

  • PROJECT_ID: ID du projet où se trouve le groupe de profils de sécurité.

    L'indicateur --project est disponible dans (aperçu). Pour l'utiliser, exécutez la gcloud beta network-security security-profile-groups delete commande.

  • QUOTA_PROJECT_ID : ID de votre projet de quota. N'utilisez cet indicateur que pour les groupes de profils de sécurité au niveau de l'organisation.

Étape suivante