Créer et gérer des profils de sécurité d'interception personnalisés

Cette page explique comment créer et gérer des profils de sécurité personnalisés pour les interceptions.

Avant de commencer

Rôles

Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des profils de sécurité d'interception personnalisés, demandez à votre administrateur de vous accorder les rôles IAM nécessaires sur votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Pour vérifier la progression des opérations listées sur cette page, assurez-vous que votre rôle utilisateur dispose des autorisations du rôle Utilisateur de réseau Compute (roles/compute.networkUser) :

  • networksecurity.operations.get
  • networksecurity.operations.list

Créer un profil de sécurité d'interception personnalisé

Pour l'intégration dans la bande, vous ne pouvez créer qu'un profil de sécurité de type custom-intercept. Vous pouvez créer des profils de sécurité au niveau de l'organisation ou du projet (aperçu).

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (Aperçu).

  3. Dans l'onglet Profils de sécurité, cliquez sur Créer un profil.

  4. Dans le champ Nom, saisissez un nom.

  5. Pour Objectif du profil de sécurité, sélectionnez NSI en bande.

  6. Pour Projet, sélectionnez le projet qui héberge le groupe de points de terminaison d'interception.

  7. Pour Groupe de points de terminaison d'interception, sélectionnez le groupe de points de terminaison d'interception.

  8. Cliquez sur Créer.

gcloud

Pour créer un profil de sécurité d'interception personnalisé pour l'intégration dans la bande, utilisez la commande gcloud network-security security-profiles custom-intercept create :

gcloud network-security security-profiles custom-intercept create CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID] \
    --intercept-endpoint-group \
        projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID

Remplacez les éléments suivants :

  • CUSTOM_INTERCEPT_PROFILE_NAME : nom du profil de sécurité.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier l'organisation ou le nom du projet, ainsi que l'emplacement.

  • ORGANIZATION_ID : votre ID d'organisation. Utilisez cet indicateur pour créer un profil de sécurité au niveau de l'organisation.

  • PROJECT_ID : ID de votre projet. Utilisez cet indicateur pour créer un profil de sécurité au niveau du projet (bêta).

    L'indicateur --project est disponible en version preview. Pour utiliser cette option, exécutez la commande gcloud beta network-security security-profiles custom-intercept create.

  • QUOTA_PROJECT_ID : ID de votre projet de quota. Utilisez cet indicateur uniquement pour les profils de sécurité au niveau de l'organisation.

  • ENDPOINT_GROUP_PROJECT_ID : ID du projet dans lequel vous avez créé le groupe de points de terminaison d'interception.

  • ENDPOINT_GROUP_ID : ID du groupe de points de terminaison.

Terraform

Pour créer un profil de sécurité, vous pouvez utiliser une ressource google_network_security_security_profile.

resource "google_network_security_security_profile" "default" {
  name     = "security-profile"
  type     = "CUSTOM_INTERCEPT"
  parent   = "organizations/${data.google_organization.default.org_id}"
  location = "global"

  custom_intercept_profile {
    intercept_endpoint_group = google_network_security_intercept_endpoint_group.default.id
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

Lister et afficher les détails d'un profil de sécurité d'interception personnalisé

Vous pouvez lister les profils de sécurité dans une organisation ou un projet (Aperçu), et afficher les détails d'un profil, comme son nom et l'ID du groupe de points de terminaison.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (Aperçu). L'onglet liste tous les profils de sécurité.

  3. Dans l'onglet Profils de sécurité, cliquez sur le nom du profil de sécurité.

gcloud

Pour répertorier tous les profils de sécurité d'interception personnalisés, exécutez la commande gcloud network-security security-profiles custom-intercept list :

gcloud network-security security-profiles custom-intercept list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID]

Pour afficher les détails d'un profil de sécurité d'interception personnalisé, exécutez la commande gcloud network-security security-profiles custom-intercept describe :

gcloud network-security security-profiles custom-intercept describe CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Remplacez les éléments suivants :

  • CUSTOM_INTERCEPT_PROFILE_NAME : nom du profil de sécurité.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier l'organisation ou le nom du projet, ainsi que l'emplacement.

  • ORGANIZATION_ID : ID de votre organisation dans laquelle le profil de sécurité existe.

  • PROJECT_ID : ID du projet dans lequel se trouve le profil de sécurité.

    L'indicateur --project est disponible en version preview. Pour utiliser cette option, exécutez la commande gcloud beta network-security security-profiles custom-intercept describe.

  • QUOTA_PROJECT_ID : ID de votre projet de quota. N'utilisez ce flag que pour les profils de sécurité au niveau de l'organisation.

Le résultat ressemble à ce qui suit :

  • Profils de sécurité au niveau de l'organisation : organizations/ORGANIZATION_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME
  • Profils de sécurité au niveau du projet (aperçu) : projects/PROJECT_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME

Supprimer un profil de sécurité d'interception personnalisé

Vous pouvez supprimer un profil de sécurité d'interception personnalisé en spécifiant son nom, son emplacement, son organisation ou son projet. Avant de supprimer le profil de sécurité, assurez-vous qu'il n'est pas utilisé par un groupe de profils de sécurité.

Console

  1. Dans la console Google Cloud , accédez à la page Profils de sécurité.

    Accéder à la page "Profils de sécurité"

  2. Dans le sélecteur de projet, sélectionnez votre organisation ou le projet (Aperçu).

  3. Dans l'onglet Profils de sécurité, cochez la case du profil de sécurité, puis cliquez sur Supprimer.

  4. Cliquez à nouveau sur Supprimer pour confirmer votre choix.

gcloud

Pour supprimer un profil de sécurité d'interception personnalisé, utilisez la commande gcloud network-security security-profiles custom-intercept delete :

gcloud network-security security-profiles custom-intercept delete CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

Remplacez les éléments suivants :

  • CUSTOM_INTERCEPT_PROFILE_NAME : nom du profil de sécurité d'interception personnalisé que vous souhaitez supprimer.

    Si vous ne spécifiez pas le nom au format d'identifiant d'URL unique, vous devez spécifier l'organisation ou le nom du projet, ainsi que l'emplacement.

  • ORGANIZATION_ID : ID de votre organisation dans laquelle le profil de sécurité existe.

  • PROJECT_ID : ID du projet dans lequel se trouve le profil de sécurité.

    L'indicateur --project est disponible en version preview. Pour utiliser cette option, exécutez la commande gcloud beta network-security security-profiles custom-intercept delete.

  • QUOTA_PROJECT_ID : ID de votre projet de quota. N'utilisez ce flag que pour les profils de sécurité au niveau de l'organisation.

Étapes suivantes