Cette page explique comment créer et gérer des groupes de profils de sécurité avec un profil de sécurité d'interception personnalisé.
Avant de commencer
- Activez l'API Network Security dans votre projet.
- Installer gcloud CLI
- Créez un profil de sécurité d'interception personnalisé.
Rôles
Pour créer, afficher, mettre à jour ou supprimer des groupes de profils de sécurité, demandez à votre administrateur de vous accorder les rôles IAM (Identity and Access Management) nécessaires sur votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre rôle utilisateur dispose des autorisations du rôle Utilisateur de réseau Compute (roles/compute.networkUser) :
networksecurity.operations.getnetworksecurity.operations.list
Créer un groupe de profils de sécurité
Lorsque vous créez un groupe de profils de sécurité, vous spécifiez le nom du groupe de profils de sécurité et celui du profil de sécurité personnalisé.
Nous vous recommandons de créer le groupe de profils de sécurité dans un projet appartenant à votre administrateur de la sécurité.
Console
Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.
Dans le sélecteur de projets, sélectionnez votre organisation.
Dans l'onglet Groupes de profils de sécurité, cliquez sur Créer un groupe de profils.
Dans le champ Nom, saisissez le nom du groupe de profils de sécurité.
Dans Objectif du groupe de profils de sécurité, sélectionnez NSI in-band.
Pour Profil d'interception personnalisé, sélectionnez le profil de sécurité personnalisé pour l'intégration dans la bande.
Cliquez sur Créer.
gcloud
Pour créer un groupe de profils de sécurité, exécutez la commande gcloud network-security
security-profile-groups create :
gcloud network-security security-profile-groups create SECURITY_PROFILE_GROUP_ID \
--custom-intercept-profile CUSTOM_INTERCEPT_PROFILE_ID \
--organization ORGANIZATION_ID \
--billing-project BILLING_PROJECT_ID \
--location global
Remplacez les éléments suivants :
SECURITY_PROFILE_GROUP_ID: ID du groupe de profils de sécurité.CUSTOM_INTERCEPT_PROFILE_ID: ID du profil de sécurité d'interception personnalisé.ORGANIZATION_ID: ID de l'organisation dans laquelle vous souhaitez créer le groupe de profils de sécurité.BILLING_PROJECT_ID: ID du projet à utiliser pour les quotas.
Terraform
Pour créer un groupe de profils de sécurité, vous pouvez utiliser une ressource google_network_security_security_profile_group.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.
Afficher les détails d'un groupe de profils de sécurité
Vous pouvez afficher les détails d'un groupe de profils de sécurité dans une organisation, comme son nom et son profil d'interception personnalisé.
Console
Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.
Dans le sélecteur de projets, sélectionnez votre organisation.
Dans l'onglet Groupes de profils de sécurité, cliquez sur le nom du groupe de profils de sécurité.
gcloud
Pour afficher les détails d'un groupe de profils de sécurité, utilisez la commande gcloud
network-security security-profile-groups describe :
gcloud network-security security-profile-groups describe SECURITY_PROFILE_GROUP_ID \
--organization ORGANIZATION_ID \
--billing-project BILLING_PROJECT_ID \
--location global
Remplacez les éléments suivants :
SECURITY_PROFILE_GROUP_ID: ID du groupe de profils de sécurité.ORGANIZATION_ID: ID de l'organisation dans laquelle le groupe de profils de sécurité est créé.BILLING_PROJECT_ID: ID du projet à utiliser pour les quotas.
Dans le résultat, le nom du groupe de profils de sécurité s'affiche au format organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID.
Lister les groupes de profils de sécurité
Vous pouvez lister tous les groupes de profils de sécurité d'une organisation, y compris leurs ID.
Console
Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.
Dans le sélecteur de projets, sélectionnez votre organisation.
Dans l'onglet Groupes de profils de sécurité, vous pouvez voir la liste des groupes de profils de sécurité.
gcloud
Pour répertorier les groupes de profils de sécurité, exécutez la commande gcloud
network-security security-profile-groups list :
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID \
--location global \
--billing-project BILLING_PROJECT_ID
Remplacez les éléments suivants :
ORGANIZATION_ID: ID de l'organisation dans laquelle le groupe de profils de sécurité est créé.BILLING_PROJECT_ID: ID du projet à utiliser pour les quotas.
Supprimer un groupe de profils de sécurité
Avant de supprimer un groupe de profils de sécurité, supprimez le profil de sécurité d'interception personnalisé qui fait référence au groupe de profils de sécurité.
Console
Dans la console Google Cloud , accédez à la page Groupes de profils de sécurité.
Dans le sélecteur de projets, sélectionnez votre organisation.
Dans l'onglet Groupes de profils de sécurité, cochez la case du groupe de profils de sécurité, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer un groupe de profils de sécurité, exécutez la commande gcloud network-security
security-profile-groups delete :
gcloud network-security security-profile-groups delete SECURITY_PROFILE_GROUP_ID \
--organization ORGANIZATION_ID \
--billing-project BILLING_PROJECT_ID \
--location global
Remplacez les éléments suivants :
SECURITY_PROFILE_GROUP_ID: ID du groupe de profils de sécurité que vous souhaitez supprimer.ORGANIZATION_ID: ID de l'organisation dans laquelle le groupe de profils de sécurité est créé.BILLING_PROJECT_ID: ID du projet à utiliser pour les quotas.
Étapes suivantes
- Créer et gérer des groupes de points de terminaison d'interception
- Présentation des groupes de profils de sécurité
- Créer et gérer des profils de sécurité d'interception personnalisés