보안 프로필 그룹 개요

보안 프로필 그룹은 커스텀 가로채기 보안 프로필의 컨테이너입니다. 가로채기 규칙은 보안 프로필 그룹을 참조하여 네트워크 보안 통합 내에서 네트워크 트래픽 처리를 사용 설정합니다.

이 페이지에서는 보안 프로필 그룹과 해당 기능을 자세히 설명합니다.

사양

보안 프로필 그룹에는 다음과 같은 사양이 있습니다.

  • 보안 프로필 그룹은 전역 조직 수준 또는 a 프로젝트 수준 리소스 (미리보기)입니다.

  • 보안 프로필 그룹의 이름은 다음 URL 식별자 형식으로 구성됩니다.

    • 조직 수준: organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME

    • 프로젝트 수준 (미리보기): projects/PROJECT_ID/locations/global/securityProfileGroups/NAME

    보안 프로필 그룹의 NAME은 다음 요구사항을 충족해야 합니다.

    • 1~63자(영문 기준)의 문자열
    • 소문자 영숫자 문자 또는 하이픈 (-)만 포함
    • 문자로 시작

    예:

    • 조직 수준 보안 프로필 그룹: organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group.
    • 프로젝트 수준 보안 프로필 그룹 (미리보기): projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.

    보안 프로필 그룹 이름에 고유한 URL 식별자를 사용하는 경우 URL에는 이미 조직 또는 프로젝트와 위치가 포함되어 있습니다. 닉네임만 지정하는 경우 gcloud 명령어를 사용할 때 조직 ID 또는 프로젝트 ID와 위치를 별도로 제공해야 합니다.

  • 보안 프로필 그룹에는 보안 프로필을 하나만 추가할 수 있습니다.

  • 방화벽 규칙에는 가로채기 엔드포인트에서 사용할 보안 프로필 그룹의 이름이 포함되어야 합니다.

  • 보안 프로필 그룹은 APPLY_SECURITY_PROFILE_GROUP 작업으로 방화벽 규칙을 추가하는 경우에만 대역 내 통합 방화벽 정책에 적용됩니다. 계층식 방화벽 정책 규칙 및 전역 네트워크 방화벽 정책 규칙에서 보안 프로필 그룹을 구성할 수 있습니다.

  • 방화벽 규칙의 플래그 방향에 따라 규칙은 Virtual Private Cloud (VPC) 네트워크 내의 수신 및 발신 트래픽에 모두 영향을 줄 수 있습니다. 그런 다음 가로챈 트래픽은 구성된 보안 프로필 그룹에서 참조하는 보안 프로필에 정의된 가로채기 엔드포인트 그룹으로 전송됩니다. 이후 가로채기 엔드포인트 그룹은 가로챈 트래픽을 네트워크 배포에서 연결한 프로듀서 배포 그룹으로 리디렉션합니다.

  • 각 보안 프로필 그룹에는 연결된 프로젝트 ID가 있어야 합니다. 연결된 프로젝트는 할당량에 사용됩니다. gcloud auth activate-service-account 명령어를 사용하여 서비스 계정을 인증하는 경우 서비스 계정을 보안 프로필 그룹과 연결할 수 있습니다. 보안 프로필 그룹을 만드는 방법에 대한 자세한 내용은 보안 프로필 그룹 만들기 및 관리를 참조하세요.

  • 보안 프로필 그룹에 보안 프로필을 추가할 때는 다음 제약 조건이 적용됩니다.

    • 조직 수준 보안 프로필 그룹은 조직 수준 보안 프로필만 참조할 수 있습니다.
    • 프로젝트 수준 보안 프로필 그룹 (미리보기)은 동일한 프로젝트의 프로젝트 수준 보안 프로필 (미리보기)만 참조할 수 있습니다.

Identity and Access Management 역할

다음 표에서는 보안 프로필 그룹을 관리하는 데 필요한 Identity and Access Management (IAM) 역할을 설명합니다.

기능 필수 역할
보안 프로필 그룹 만들기 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin) 보안 프로필 그룹을 만들려는 조직 또는 프로젝트의
보안 프로필 그룹 수정 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin) 보안 프로필 그룹이 있는 조직 또는 프로젝트의
조직 또는 프로젝트의 보안 프로필 그룹에 대한 세부정보 보기 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin) 보안 프로필 그룹이 있는 조직 또는 프로젝트의
조직 또는 프로젝트의 모든 보안 프로필 그룹 보기 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin) 보안 프로필 그룹이 있는 조직 또는 프로젝트의
조직 또는 프로젝트의 대역 내 통합 정책 규칙에서 보안 프로필 그룹 사용 보안 프로필 관리자 역할 (networksecurity.securityProfileAdmin) 보안 프로필 그룹이 있는 조직 또는 프로젝트의

보안 프로필 관리자 역할(networksecurity.securityProfileAdmin)이 없는 경우 다음 권한으로 보안 프로필 그룹을 만들 수 있습니다.

  • networksecurity.securityProfileGroups.create
  • networksecurity.securityProfileGroups.delete
  • networksecurity.securityProfileGroups.get
  • networksecurity.securityProfileGroups.list
  • networksecurity.securityProfileGroups.update
  • networksecurity.securityProfileGroups.use

IAM 권한 및 사전 정의된 역할에 대한 자세한 내용은 IAM 권한 참조를 확인하세요.

할당량

보안 프로필 그룹과 연결된 할당량을 보려면 할당량 및 한도를 참조하세요.

다음 단계