Crea y administra perfiles de seguridad de interceptación personalizados

En esta página, se describe cómo crear y administrar perfiles de seguridad de interceptación personalizados.

Antes de comenzar

Funciones

Para obtener los permisos que necesitas a fin de crear, ver, actualizar o borrar perfiles de seguridad de interceptación personalizados, pídele a tu administrador que te otorgue los roles de IAM necesarios en tu organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Para verificar el progreso de las operaciones enumeradas en esta página, asegúrate de que tu rol de usuario tenga los siguientes permisos de rol de usuario de la red de Compute (roles/compute.networkUser):

  • networksecurity.operations.get
  • networksecurity.operations.list

Crea un perfil de seguridad de interceptación personalizado

Para la integración dentro de la banda, solo puedes crear un perfil de seguridad de tipo custom-intercept. Puedes crear perfiles de seguridad a nivel de la organización o del proyecto (versión preliminar).

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. En el selector de proyectos, selecciona tu organización o el proyecto (Vista previa).

  3. En la pestaña Perfiles de seguridad, haz clic en Crear perfil.

  4. En Nombre, ingresa un nombre.

  5. En Propósito del perfil de seguridad, selecciona NSI en banda.

  6. En Proyecto, selecciona el proyecto que aloja el grupo de extremos de interceptación.

  7. En Grupo de extremos de intercepción, selecciona el grupo de extremos de intercepción.

  8. Haz clic en Crear.

gcloud

Para crear un perfil de seguridad de interceptación personalizado para la integración dentro de la banda, usa el comando gcloud network-security security-profiles custom-intercept create:

gcloud network-security security-profiles custom-intercept create CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID] \
    --intercept-endpoint-group \
        projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID

Reemplaza lo siguiente:

  • CUSTOM_INTERCEPT_PROFILE_NAME: Es el nombre del perfil de seguridad.

    Si no especificas el nombre en el formato de identificador de URL único, debes especificar la organización o el nombre del proyecto, y la ubicación.

  • ORGANIZATION_ID: Es el ID de tu organización. Usa esta marca para crear un perfil de seguridad a nivel de la organización.

  • PROJECT_ID: el ID de tu proyecto Usa esta marca para crear un perfil de seguridad a nivel del proyecto (vista previa).

    La marca --project está disponible en (vista previa). Para usar esta marca, ejecuta el comando gcloud beta network-security security-profiles custom-intercept create.

  • QUOTA_PROJECT_ID: Es el ID de tu proyecto de cuota. Usa esta marca solo para el perfil de seguridad a nivel de la organización.

  • ENDPOINT_GROUP_PROJECT_ID: Es el ID del proyecto en el que creaste el grupo de extremos de interceptación.

  • ENDPOINT_GROUP_ID: Es el ID del grupo de extremos.

Terraform

Para crear un perfil de seguridad, puedes usar un recurso google_network_security_security_profile.

resource "google_network_security_security_profile" "default" {
  name     = "security-profile"
  type     = "CUSTOM_INTERCEPT"
  parent   = "organizations/${data.google_organization.default.org_id}"
  location = "global"

  custom_intercept_profile {
    intercept_endpoint_group = google_network_security_intercept_endpoint_group.default.id
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Enumera y visualiza los detalles de un perfil de seguridad de interceptación personalizado

Puedes enumerar los perfiles de seguridad en una organización o un proyecto (versión preliminar) y ver los detalles de un perfil, como su nombre y el ID del grupo de extremos.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. En el selector de proyectos, selecciona tu organización o el proyecto (Vista previa). En la pestaña, se enumeran todos los perfiles de seguridad.

  3. En la pestaña Perfiles de seguridad, haz clic en el nombre del perfil de seguridad.

gcloud

Para enumerar todos los perfiles de seguridad de interceptación personalizados, usa el comando gcloud network-security security-profiles custom-intercept list:

gcloud network-security security-profiles custom-intercept list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID]

Para ver los detalles de un perfil de seguridad de interceptación personalizado, usa el comando gcloud network-security security-profiles custom-intercept describe:

gcloud network-security security-profiles custom-intercept describe CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Reemplaza lo siguiente:

  • CUSTOM_INTERCEPT_PROFILE_NAME: Es el nombre del perfil de seguridad.

    Si no especificas el nombre en el formato de identificador de URL único, debes especificar la organización o el nombre del proyecto, y la ubicación.

  • ORGANIZATION_ID: Es el ID de tu organización en la que existe el perfil de seguridad.

  • PROJECT_ID: Es el ID del proyecto en el que existe el perfil de seguridad.

    La marca --project está disponible en (vista previa). Para usar esta marca, ejecuta el comando gcloud beta network-security security-profiles custom-intercept describe.

  • QUOTA_PROJECT_ID: Es el ID de tu proyecto de cuota. Usa esta marca solo para los perfiles de seguridad a nivel de la organización.

El resultado es similar a lo siguiente:

  • Perfiles de seguridad a nivel de la organización: organizations/ORGANIZATION_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME
  • Perfiles de seguridad a nivel del proyecto (versión preliminar): projects/PROJECT_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME

Borra un perfil de seguridad de interceptación personalizado

Puedes borrar un perfil de seguridad de interceptación personalizado si especificas su nombre, ubicación y organización o proyecto. Antes de borrar el perfil de seguridad, asegúrate de que no lo use ningún grupo de perfiles de seguridad.

Console

  1. En la consola de Google Cloud , ve a la página Perfiles de seguridad.

    Ir a Perfiles de seguridad

  2. En el selector de proyectos, selecciona tu organización o el proyecto (Vista previa).

  3. En la pestaña Perfiles de seguridad, selecciona la casilla de verificación del perfil de seguridad y, luego, haz clic en Borrar.

  4. Haga clic en Borrar nuevamente para confirmar.

gcloud

Para borrar un perfil de seguridad de interceptación personalizado, usa el comando gcloud network-security security-profiles custom-intercept delete:

gcloud network-security security-profiles custom-intercept delete CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Reemplaza lo siguiente:

  • CUSTOM_INTERCEPT_PROFILE_NAME: Es el nombre del perfil de seguridad de interceptación personalizado que deseas borrar.

    Si no especificas el nombre en el formato de identificador de URL único, debes especificar la organización o el nombre del proyecto, y la ubicación.

  • ORGANIZATION_ID: Es el ID de tu organización en la que existe el perfil de seguridad.

  • PROJECT_ID: Es el ID del proyecto en el que existe el perfil de seguridad.

    La marca --project está disponible en (vista previa). Para usar esta marca, ejecuta el comando gcloud beta network-security security-profiles custom-intercept delete.

  • QUOTA_PROJECT_ID: Es el ID de tu proyecto de cuota. Usa esta marca solo para los perfiles de seguridad a nivel de la organización.

¿Qué sigue?