Un groupe de profils de sécurité est un conteneur pour les profils de sécurité d'interception personnalisés. Une règle d'interception référence un groupe de profils de sécurité pour permettre le traitement du trafic réseau dans l'intégration de la sécurité réseau.
Cette page fournit une présentation détaillée des groupes de profils de sécurité et de leurs fonctionnalités.
Spécifications
Les groupes de profils de sécurité sont soumis aux spécifications suivantes :
Un groupe de profils de sécurité est une ressource globale au niveau de l'organisation ou du projet (Preview).
Le nom d'un groupe de profils de sécurité est configuré au format suivant d'identifiant d'URL :
Au niveau de l'organisation :
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMEAu niveau du projet (aperçu) :
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
Le
NAMEdu groupe de profils de sécurité doit répondre aux exigences suivantes :- Chaîne de 1 à 63 caractères.
- Ne contenir que des caractères alphanumériques minuscules ou des traits d'union (-)
- Commencer par une lettre
Exemples :
- Groupe de profils de sécurité au niveau de l'organisation :
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group. - Groupe de profils de sécurité au niveau du projet (aperçu) :
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.
Si vous utilisez l'identifiant d'URL unique pour le nom du groupe de profils de sécurité, l'URL inclut déjà l'organisation ou le projet, ainsi que l'emplacement. Si vous ne spécifiez que le nom court, vous devez fournir l'ID de l'organisation ou l'ID du projet et l'emplacement séparément lorsque vous utilisez des commandes
gcloud.Vous ne pouvez ajouter qu'un seul profil de sécurité à un groupe de profils de sécurité.
Une règle de pare-feu doit contenir le nom du groupe de profils de sécurité qui sera utilisé par les points de terminaison d'interception.
Les groupes de profils de sécurité ne s'appliquent aux stratégies de pare-feu d'intégration intrabande que lorsque vous ajoutez une règle de pare-feu avec l'action
APPLY_SECURITY_PROFILE_GROUP. Vous pouvez configurer des groupes de profils de sécurité dans les règles de stratégies de pare-feu hiérarchiques et les règles de stratégies de pare-feu de réseau au niveau mondial.Selon le sens du signalement de la règle de pare-feu, celle-ci peut affecter le trafic entrant et sortant au sein du réseau de cloud privé virtuel (VPC). Le trafic intercepté est ensuite envoyé au groupe de points de terminaison d'interception défini dans le profil de sécurité référencé par le groupe de profils de sécurité configuré. Par la suite, le groupe de points de terminaison d'interception redirige le trafic intercepté vers le groupe de déploiement du producteur associé par les déploiements réseau.
Chaque groupe de profils de sécurité doit être associé à un ID de projet. Le projet associé est utilisé pour les quotas. Si vous authentifiez votre compte de service à l'aide de la commande
gcloud auth activate-service-account, vous pouvez associer votre compte de service au groupe de profils de sécurité. Pour savoir comment créer un groupe de profils de sécurité, consultez Créer et gérer des groupes de profils de sécurité.Lorsque vous ajoutez des profils de sécurité à un groupe de profils de sécurité, les contraintes suivantes s'appliquent :
Rôles de gestion de l'authentification et des accès (IAM)
Le tableau suivant décrit les rôles IAM (Identity and Access Management) requis pour gérer les groupes de profils de sécurité :
| Aptitude | Rôle nécessaire |
|---|---|
| Créer un groupe de profils de sécurité | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation ou le projet dans lequel vous souhaitez créer un groupe de profils de sécurité. |
| Modifier un groupe de profils de sécurité | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation ou le projet où se trouve le groupe de profils de sécurité. |
| Afficher les détails du groupe de profils de sécurité d'une organisation ou d'un projet | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation ou le projet où se trouve le groupe de profils de sécurité. |
| Afficher tous les groupes de profils de sécurité d'une organisation ou d'un projet | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation ou le projet où se trouve le groupe de profils de sécurité. |
| Utiliser un groupe de profils de sécurité dans une règle de stratégie d'intégration intrabande dans une organisation ou un projet | Rôle Administrateur de profils de sécurité (networksecurity.securityProfileAdmin) sur l'organisation ou le projet où se trouve le groupe de profils de sécurité. |
Si vous ne disposez pas du rôle Administrateur de profil de sécurité (networksecurity.securityProfileAdmin), vous pouvez créer des groupes de profils de sécurité avec les autorisations suivantes :
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Pour en savoir plus sur les autorisations et les rôles prédéfinis IAM, consultez la documentation de référence sur les autorisations IAM.
Quotas
Pour afficher les quotas associés aux groupes de profils de sécurité, consultez Quotas et limites.
Étapes suivantes
- Créer et gérer des groupes de profils de sécurité
- Créer et gérer des profils de sécurité d'interception personnalisés