创建和管理安全配置文件组

本页面介绍了如何使用自定义拦截安全配置文件创建和管理安全配置文件组

准备工作

角色

如需创建、查看、更新或删除安全配置文件组,请让您的管理员向您授予组织的必要 Identity and Access Management (IAM) 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

如需检查本页面中列出的操作的进度,请确保您的用户角色具有以下 Compute Network User 角色 (roles/compute.networkUser) 权限:

  • networksecurity.operations.get
  • networksecurity.operations.list

创建安全配置文件组

创建安全配置文件组时,您需要指定安全配置文件组的名称和自定义安全配置文件的名称。

我们建议您在安全管理员拥有的项目中创建安全配置文件组。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件组页面。

    前往“安全配置文件组”

  2. 从项目选择器中选择您的组织。

  3. 安全配置文件组标签页中,点击创建配置文件组

  4. 名称字段中,输入安全配置文件组的名称。

  5. 对于安全配置文件组用途,选择 NSI 带内

  6. 对于自定义拦截配置文件,请选择带内集成的自定义安全配置文件。

  7. 点击创建

gcloud

如需创建安全配置文件组,请使用 gcloud network-security security-profile-groups create 命令

gcloud network-security security-profile-groups create SECURITY_PROFILE_GROUP_ID \
    --custom-intercept-profile CUSTOM_INTERCEPT_PROFILE_ID \
    --organization ORGANIZATION_ID \
    --billing-project BILLING_PROJECT_ID \
    --location global

替换以下内容:

  • SECURITY_PROFILE_GROUP_ID:安全配置文件组的 ID。

  • CUSTOM_INTERCEPT_PROFILE_ID:自定义拦截安全配置文件的 ID。

  • ORGANIZATION_ID:您要在其中创建安全配置文件组的组织的 ID。

  • BILLING_PROJECT_ID:用于配额的项目 ID。

Terraform

如需创建安全配置文件组,您可以使用 google_network_security_security_profile_group 资源

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_intercept_profile = google_network_security_security_profile.default.id
}

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

查看安全配置文件组的详细信息

您可以查看组织中安全配置文件组的详细信息,例如其名称和自定义拦截配置文件。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件组页面。

    前往“安全配置文件组”

  2. 从项目选择器中选择您的组织。

  3. 安全配置文件组标签页中,点击安全配置文件组的名称。

gcloud

如需查看安全配置文件组的详细信息,请使用 gcloud network-security security-profile-groups describe 命令

gcloud network-security security-profile-groups describe SECURITY_PROFILE_GROUP_ID \
    --organization ORGANIZATION_ID \
    --billing-project BILLING_PROJECT_ID \
    --location global

替换以下内容:

  • SECURITY_PROFILE_GROUP_ID:安全配置文件组的 ID。

  • ORGANIZATION_ID:创建安全配置文件组的组织的 ID。

  • BILLING_PROJECT_ID:用于配额的项目 ID。

在输出中,安全配置文件组的名称以 organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID 格式显示。

列出安全配置文件组

您可以列出组织中的所有安全配置文件组,包括其 ID。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件组页面。

    前往“安全配置文件组”

  2. 从项目选择器中选择您的组织。

  3. 安全配置文件组标签页中,您可以查看安全配置文件组的列表。

gcloud

如需列出安全配置文件组,请使用 gcloud network-security security-profile-groups list 命令

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location global \
    --billing-project BILLING_PROJECT_ID

替换以下内容:

  • ORGANIZATION_ID:创建安全配置文件组的组织的 ID。

  • BILLING_PROJECT_ID:用于配额的项目 ID。

删除安全配置文件组

在删除安全配置文件组之前,请先删除引用该安全配置文件组的自定义拦截安全配置文件

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件组页面。

    前往“安全配置文件组”

  2. 从项目选择器中选择您的组织。

  3. 安全配置文件组标签页中,选中相应安全配置文件组的复选框,然后点击删除

  4. 再次点击删除进行确认。

gcloud

如需删除安全配置文件组,请使用 gcloud network-security security-profile-groups delete 命令

gcloud network-security security-profile-groups delete SECURITY_PROFILE_GROUP_ID \
    --organization ORGANIZATION_ID \
    --billing-project BILLING_PROJECT_ID \
    --location global

替换以下内容:

  • SECURITY_PROFILE_GROUP_ID:要删除的安全配置文件组的 ID。

  • ORGANIZATION_ID:创建安全配置文件组的组织的 ID。

  • BILLING_PROJECT_ID:用于配额的项目 ID。

后续步骤