Un grupo de perfiles de seguridad es un contenedor de perfiles de seguridad de intercepción personalizados. Una regla de intercepción hace referencia a un grupo de perfiles de seguridad para habilitar el procesamiento del tráfico de red dentro de la integración de seguridad de redes.
En esta página, se proporciona una descripción general detallada de los grupos de perfiles de seguridad y sus capacidades.
Especificaciones
Los grupos de perfiles de seguridad tienen las siguientes especificaciones:
Un grupo de perfiles de seguridad es un recurso global a nivel de la organización o a nivel del proyecto (vista previa).
El nombre de un grupo de perfiles de seguridad se configura en el siguiente formato de identificador de URL:
Nivel de la organización:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMENivel del proyecto (vista previa):
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
El
NAMEdel grupo de perfiles de seguridad debe cumplir con los siguientes requisitos:- Una string de 1 a 63 caracteres
- Solo contiene caracteres alfanuméricos en minúscula o guiones (-)
- Comienza con una letra
Ejemplos:
- Grupo de perfiles de seguridad a nivel de la organización:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group. - Grupo de perfiles de seguridad a nivel del proyecto (vista previa):
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.
Si usas el identificador de URL único para el nombre del grupo de perfiles de seguridad, la URL ya incluye la organización o el proyecto, y la ubicación. Si especificas solo el nombre corto, debes proporcionar el ID de la organización o el ID del proyecto y la ubicación por separado cuando usas comandos
gcloud.Solo puedes agregar un perfil de seguridad a un grupo de perfiles de seguridad.
Una regla de firewall debe contener el nombre del grupo de perfiles de seguridad que usarán los extremos de intercepción.
Los grupos de perfiles de seguridad se aplican a las políticas de firewall de integración en banda solo cuando agregas una regla de firewall con la acción
APPLY_SECURITY_PROFILE_GROUP. Puedes configurar grupos de perfiles de seguridad en reglas de políticas de firewall jerárquicas y reglas de políticas de firewall de red globales.Según la dirección de la marca de la regla de firewall, la regla puede afectar el tráfico entrante y saliente dentro de la red de nube privada virtual (VPC). Luego, el tráfico interceptado se envía al grupo de extremos de intercepción definido en el perfil de seguridad al que hace referencia el grupo de perfiles de seguridad configurado. Posteriormente, el grupo de extremos de intercepción redirecciona el tráfico interceptado al grupo de implementación del productor adjunto por las implementaciones de red.
Cada grupo de perfiles de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para las cuotas. Si autenticas la cuenta de servicio con el
gcloud auth activate-service-accountcomando, puedes asociarla con el grupo de perfiles de seguridad. Si deseas obtener más información para crear un grupo de perfiles de seguridad, consulta Crea y administra grupos de perfiles de seguridad.Cuando agregas perfiles de seguridad a un grupo de perfiles de seguridad, se aplican las siguientes restricciones:
- Un grupo de perfiles de seguridad a nivel de la organización solo puede hacer referencia a perfiles de seguridad a nivel de la organización.
- Un grupo de perfiles de seguridad a nivel del proyecto (vista previa) solo puede hacer referencia a perfiles de seguridad a nivel del proyecto (vista previa) en el mismo proyecto.
Funciones de Identity and Access Management
En la siguiente tabla, se describen las funciones de Identity and Access Management (IAM) necesarias para administrar los grupos de perfiles de seguridad:
| Capacidad | Rol necesario |
|---|---|
| Crear un grupo de perfil de seguridad | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que deseas crear un grupo de perfiles de seguridad. |
| Modificar un grupo de perfiles de seguridad | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que existe el grupo de perfiles de seguridad. |
| Visualizar los detalles del grupo de perfiles de seguridad de una organización o un proyecto | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que existe el grupo de perfiles de seguridad. |
| Visualizar todos los grupos de perfiles de seguridad de una organización o un proyecto | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que existe el grupo de perfiles de seguridad. |
| Usar un grupo de perfiles de seguridad en una regla de política de integración en banda en una organización o un proyecto | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que existe el grupo de perfiles de seguridad. |
Si no tienes el rol de administrador de perfiles de seguridad
(networksecurity.securityProfileAdmin), puedes crear grupos de perfiles de seguridad con los siguientes permisos:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Para obtener más información sobre los permisos de IAM y los roles predefinidos, consulta la referencia de permisos de IAM.
Cuotas
Para ver las cuotas asociadas con los grupos de perfiles de seguridad, consulta Cuotas y límites.
¿Qué sigue?
- Crea y administra grupos de perfiles de seguridad
- Crea y administra perfiles de seguridad de intercepción personalizados