Um grupo de perfis de segurança é um contêiner para perfis de segurança de interceptação personalizados. Uma regra de interceptação faz referência a um grupo de perfis de segurança para ativar o processamento do tráfego de rede na Integração de Segurança de Rede.
Nesta página, você encontra informações gerais detalhadas dos grupos de perfis de segurança e dos recursos deles.
Especificações
Os grupos de perfis de segurança têm as seguintes especificações:
Um grupo de perfis de segurança é um recurso global no nível da organização ou para envolvidos no projeto (prévia).
O nome de um grupo de perfis de segurança é configurado no seguinte formato de identificador de URL:
Nível da organização:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMEPara envolvidos no projeto (prévia):
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
O
NAMEdo grupo de perfis de segurança precisa atender aos seguintes requisitos:- Uma string com 1 a 63 caracteres
- Contém apenas caracteres alfanuméricos minúsculos ou hifens (-)
- Começa com uma letra
Exemplos:
- Grupo de perfis de segurança no nível da organização:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group. - Grupo de perfis de segurança para envolvidos no projeto (pré-lançamento):
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.
Se você usar o identificador de URL exclusivo para o nome do grupo de perfis de segurança, o URL já vai incluir a organização ou o projeto e o local. Se você especificar apenas o nome abreviado, forneça o ID da organização ou o ID do projeto e o local separadamente ao usar comandos
gcloud.É possível adicionar apenas um perfil de segurança a um grupo de perfis de segurança.
Uma regra de firewall precisa conter o nome do grupo de perfis de segurança a ser usado pelos endpoints de interceptação.
Os grupos de perfis de segurança se aplicam às políticas de firewall de integração no mesmo plano somente quando você adiciona uma regra de firewall com a ação
APPLY_SECURITY_PROFILE_GROUP. É possível configurar grupos de perfis de segurança em regras de política hierárquica de firewall e regras de política de firewall de rede global.Dependendo da direção da flag da regra de firewall, ela pode afetar o tráfego de entrada e saída na rede de nuvem privada virtual (VPC). O tráfego interceptado é enviado ao grupo de endpoints de interceptação definido no perfil de segurança referenciado pelo grupo de perfis de segurança configurado. Em seguida, o grupo de endpoints de interceptação redireciona o tráfego interceptado para o grupo de implantação do produtor anexado pelas implantações de rede.
Cada grupo de perfis de segurança precisa ter um ID de projeto associado. O projeto associado é usado para cotas. Se você autenticar sua conta de serviço usando o comando
gcloud auth activate-service-account, será possível associar sua conta de serviço ao grupo de perfis de segurança. Para saber mais sobre como criar um grupo de perfis de segurança, consulte Criar e gerenciar grupos de perfis de segurança.Ao adicionar perfis de segurança a um grupo de perfis de segurança, as seguintes restrições se aplicam:
Papéis do Identity and Access Management
A tabela a seguir descreve os papéis do Identity and Access Management (IAM) necessários para gerenciar os grupos de perfis de segurança:
| Habilidade | Papel necessário |
|---|---|
| Criar um grupo de perfis de segurança | O papel Administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que você quer criar um grupo de perfis de segurança. |
| Modificar um grupo de perfis de segurança | Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que o grupo de perfis de segurança existe. |
| Visualizar detalhes sobre o grupo de perfis de segurança em uma organização ou um projeto | Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que o grupo de perfis de segurança existe. |
| Visualizar todos os grupos de perfis de segurança em uma organização ou um projeto | Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que o grupo de perfis de segurança existe. |
| Usar um grupo de perfis de segurança em uma regra de política de integração no mesmo plano em uma organização ou projeto | Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que o grupo de perfis de segurança existe. |
Se você não tiver o papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin), poderá criar grupos de perfis de segurança com as seguintes permissões:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Para mais informações sobre permissões e papéis predefinidos do IAM, consulte a referência de permissões do IAM.
Cotas
Para conferir as cotas associadas aos grupos de perfis de segurança, consulte Cotas e limites.
A seguir
- Criar e gerenciar grupos de perfis de segurança
- Criar e gerenciar perfis de segurança de interceptação personalizados