Auf dieser Seite wird beschrieben, wie Sie benutzerdefinierte Sicherheitsprofile für das Abfangen von Traffic erstellen und verwalten.
Hinweis
- Aktivieren Sie die Network Security API in Ihrem Projekt.
- Installieren Sie die gcloud CLI.
Rollen
Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von benutzerdefinierten Sicherheitsprofilen für das Abfangen von Traffic benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationenverwalten.
Um den Fortschritt der auf dieser Seite aufgeführten Vorgänge zu prüfen, muss Ihre
Nutzerrolle die folgenden Berechtigungen der Nutzerrolle „Compute Network“
(roles/compute.networkUser) haben:
networksecurity.operations.getnetworksecurity.operations.list
Benutzerdefiniertes Sicherheitsprofil für das Abfangen von Traffic erstellen
Für die In-Band-Integration können Sie nur ein Sicherheitsprofil vom Typ custom-intercept erstellen. Sie können Sicherheitsprofile auf Organisationsebene oder Projektebene erstellen (Vorschau).
Console
Rufen Sie in der Google Cloud Console die Sicherheitsprofile Seite auf.
Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus.
Klicken Sie auf dem Tab Sicherheitsprofile auf Profil erstellen.
Geben Sie für Name einen Namen ein.
Wählen Sie für Zweck des Sicherheitsprofils die Option NSI In-Band aus.
Wählen Sie unter Projekt das Projekt aus, in dem sich die Endpunktgruppe für das Abfangen von Traffic befindet.
Wählen Sie unter Endpunktgruppe für das Abfangen von Traffic die Endpunktgruppe für das Abfangen von Traffic aus.
Klicken Sie auf Erstellen.
gcloud
Verwenden Sie den
gcloud network-security security-profiles custom-intercept create
Befehl, um ein benutzerdefiniertes Sicherheitsprofil für das Abfangen von Traffic für die In-Band-Integration zu erstellen:
gcloud network-security security-profiles custom-intercept create CUSTOM_INTERCEPT_PROFILE_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location global \
[--billing-project QUOTA_PROJECT_ID] \
--intercept-endpoint-group \
projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID
Ersetzen Sie Folgendes:
CUSTOM_INTERCEPT_PROFILE_NAME: der Name des Sicherheitsprofils.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.
ORGANIZATION_ID: Ihre Organisations-ID. Verwenden Sie dieses Flag, um ein Sicherheitsprofil auf Organisationsebene zu erstellen.PROJECT_ID: Ihre Projekt-ID. Verwenden Sie dieses Flag um ein Sicherheitsprofil auf Projektebene zu erstellen (Vorschau).Das Flag
--projectist in der (Vorschau) verfügbar. Führen Sie den Befehlgcloud beta network-security security-profiles custom-intercept createaus, um dieses Flag zu verwenden.QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.ENDPOINT_GROUP_PROJECT_ID: die Projekt-ID, in der Sie die Endpunktgruppe für das Abfangen von Traffic erstellt haben.ENDPOINT_GROUP_ID: die ID der Endpunktgruppe.
Terraform
Verwenden Sie die Ressource google_network_security_security_profile, um ein Sicherheitsprofil zu erstellen.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Benutzerdefiniertes Sicherheitsprofil für das Abfangen von Traffic auflisten und Details ansehen
Sie können Sicherheitsprofile in einer Organisation oder einem Projekt (Vorschau) auflisten und die Details eines Profils wie den Namen und die Endpunktgruppen-ID ansehen.
Console
Rufen Sie in der Google Cloud Console die Sicherheitsprofile Seite auf.
Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus. Auf dem Tab werden alle Sicherheitsprofile aufgeführt.
Klicken Sie auf dem Tab Sicherheitsprofile auf den Namen des Sicherheitsprofils.
gcloud
Verwenden Sie den Befehl gcloud
network-security security-profiles custom-intercept list, um alle benutzerdefinierten Sicherheitsprofile für das Abfangen von Traffic aufzulisten:
gcloud network-security security-profiles custom-intercept list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location global \
[--billing-project QUOTA_PROJECT_ID]
Verwenden Sie den
gcloud network-security security-profiles custom-intercept describe
Befehl, um die Details eines benutzerdefinierten Sicherheitsprofils für das Abfangen von Traffic aufzurufen:
gcloud network-security security-profiles custom-intercept describe CUSTOM_INTERCEPT_PROFILE_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
Ersetzen Sie Folgendes:
CUSTOM_INTERCEPT_PROFILE_NAME: der Name des Sicherheitsprofils.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.
ORGANIZATION_ID: Ihre Organisations-ID, in der sich das Sicherheitsprofil befindet.PROJECT_ID: Ihre Projekt-ID, in der sich das Sicherheitsprofil befindet.Das Flag
--projectist in der (Vorschau) verfügbar. Führen Sie den Befehlgcloud beta network-security security-profiles custom-intercept describeaus, um dieses Flag zu verwenden.QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.
Die Ausgabe sieht etwa so aus:
- Sicherheitsprofile auf Organisationsebene:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME - Sicherheitsprofile auf Projektebene (Vorschau):
projects/PROJECT_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME
Benutzerdefiniertes Sicherheitsprofil für das Abfangen von Traffic löschen
Sie können ein benutzerdefiniertes Sicherheitsprofil für das Abfangen von Traffic löschen, indem Sie dessen Namen, Standort und Organisation oder Projekt angeben. Achten Sie vor dem Löschen des Sicherheitsprofils darauf, dass es nicht von einer Sicherheitsprofilgruppe verwendet wird.
Console
Rufen Sie in der Google Cloud Console die Sicherheitsprofile Seite auf.
Wählen Sie in der Projektauswahl Ihre Organisation oder das Projekt (Vorschau) aus.
Wählen Sie auf dem Tab Sicherheitsprofile das Kästchen des Sicherheitsprofils aus und klicken Sie dann auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Verwenden Sie den Befehl gcloud
network-security security-profiles custom-intercept delete, um ein benutzerdefiniertes Sicherheitsprofil für das Abfangen von Traffic zu löschen:
gcloud network-security security-profiles custom-intercept delete CUSTOM_INTERCEPT_PROFILE_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
[--billing-project QUOTA_PROJECT_ID] \
--location global
Ersetzen Sie Folgendes:
CUSTOM_INTERCEPT_PROFILE_NAME: der Name des benutzerdefinierten Sicherheitsprofils für das Abfangen von Traffic, das Sie löschen möchten.Wenn Sie den Namen nicht im Format der eindeutigen URL-ID angeben, müssen Sie den Namen der Organisation oder des Projekts und den Standort angeben.
ORGANIZATION_ID: Ihre Organisations-ID, in der sich das Sicherheitsprofil befindet.PROJECT_ID: Ihre Projekt-ID, in der sich das Sicherheitsprofil befindet.Das Flag
--projectist in der (Vorschau) verfügbar. Führen Sie den Befehlgcloud beta network-security security-profiles custom-intercept deleteaus, um dieses Flag zu verwenden.QUOTA_PROJECT_ID: Ihre Kontingentprojekt-ID. Verwenden Sie dieses Flag nur für Sicherheitsprofile auf Organisationsebene.