创建和管理自定义拦截安全配置文件

本页面介绍了如何创建和管理自定义拦截安全配置文件。

准备工作

角色

如需创建、查看、更新或删除自定义拦截安全配置文件,请让您的管理员向您授予组织的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

如需检查本页面中列出的操作的进度,请确保您的用户角色具有以下 Compute Network User 角色 (roles/compute.networkUser) 权限:

  • networksecurity.operations.get
  • networksecurity.operations.list

创建自定义拦截安全配置文件

对于带内集成,您只能创建 custom-intercept 类型的安全配置文件。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    进入“安全配置文件”

  2. 从项目选择器中选择您的组织。

  3. 安全配置文件标签页中,点击创建配置文件

  4. 名称部分,输入名称。

  5. 对于安全配置文件用途,请选择 NSI 带内

  6. 项目中,选择托管拦截端点组的项目。

  7. 对于拦截端点组,选择拦截端点组。

  8. 点击创建

gcloud

如需为带内集成创建自定义拦截安全配置文件,请使用 gcloud network-security security-profiles custom-intercept create 命令

gcloud network-security security-profiles custom-intercept create CUSTOM_INTERCEPT_PROFILE_ID \
    --organization ORGANIZATION_ID \
    --location global \
    --billing-project BILLING_PROJECT_ID \
    --intercept-endpoint-group \
        projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID

替换以下内容:

  • CUSTOM_INTERCEPT_PROFILE_ID:自定义拦截安全配置文件的 ID。
  • ORGANIZATION_ID:您要在其中创建自定义拦截安全配置文件的组织。
  • BILLING_PROJECT_ID:用于配额的项目 ID。
  • ENDPOINT_GROUP_PROJECT_ID:您在其中创建拦截端点组的项目 ID。
  • ENDPOINT_GROUP_ID:端点组的 ID。

Terraform

如需创建安全配置文件,您可以使用 google_network_security_security_profile 资源

resource "google_network_security_security_profile" "default" {
  name     = "security-profile"
  type     = "CUSTOM_INTERCEPT"
  parent   = "organizations/${data.google_organization.default.org_id}"
  location = "global"

  custom_intercept_profile {
    intercept_endpoint_group = google_network_security_intercept_endpoint_group.default.id
  }
}

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

查看自定义拦截安全配置文件的详细信息

您可以查看自定义拦截安全配置文件的详细信息,例如其名称和端点组 ID。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    进入“安全配置文件”

  2. 从项目选择器中选择您的组织。

  3. 安全配置文件标签页中,点击安全配置文件的名称。

gcloud

如需查看自定义拦截安全配置文件的详细信息,请使用 gcloud network-security security-profiles custom-intercept describe 命令

gcloud network-security security-profiles custom-intercept describe CUSTOM_INTERCEPT_PROFILE_ID \
    --billing-project BILLING_PROJECT_ID \
    --location global

替换以下内容:

  • CUSTOM_INTERCEPT_PROFILE_ID:自定义拦截安全配置文件的 ID。

  • BILLING_PROJECT_ID:用于配额的项目 ID。

在输出中,自定义拦截安全配置文件的名称以 organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_ID 格式显示。

列出自定义拦截安全配置文件

您可以列出组织中的所有自定义拦截安全配置文件,包括其 ID。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    进入“安全配置文件”

  2. 从项目选择器中选择您的组织。

  3. 安全配置文件标签页中,查看项目的所有安全配置文件。

gcloud

如需列出所有自定义拦截安全配置文件,请使用 gcloud network-security security-profiles custom-intercept list 命令:

gcloud network-security security-profiles custom-intercept list \
    --organization ORGANIZATION_ID \
    --location global \
    --billing-project BILLING_PROJECT_ID

替换以下内容:

  • ORGANIZATION_ID:创建自定义拦截安全配置文件的组织的 ID。

  • BILLING_PROJECT_ID:用于配额的项目 ID。

删除自定义拦截安全配置文件

您可以通过指定自定义拦截安全配置文件的名称和组织来删除它。在删除安全配置文件之前,请确保该配置文件未被任何安全配置文件组使用。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    进入“安全配置文件”

  2. 从项目选择器中选择您的组织。

  3. 安全配置文件标签页中,选中安全配置文件的复选框,然后点击删除

  4. 再次点击删除进行确认。

gcloud

如需删除自定义拦截安全配置文件,请使用 gcloud network-security security-profiles custom-profile delete 命令:

gcloud network-security security-profiles custom-profile delete CUSTOM_INTERCEPT_PROFILE_ID \
    --organization ORGANIZATION_ID \
    --location global \
    [--billing-project BILLING_PROJECT_ID]

替换以下内容:

  • CUSTOM_INTERCEPT_PROFILE_ID:要删除的拦截安全配置的 ID。
  • ORGANIZATION_ID:创建拦截安全配置文件的组织。
  • BILLING_PROJECT_ID:用于配额的项目 ID。

后续步骤