安全配置文件组是自定义拦截安全配置文件的容器。 拦截规则引用安全配置文件组,以在网络安全集成中启用网络流量处理。
本页面详细介绍了安全配置文件组及其功能。
规格
安全配置文件组具有以下规范:
安全配置文件组是全球组织级资源。
安全配置文件组的名称采用以下格式进行配置:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID例如,组织
example-org中安全配置文件组 IDexample-security-profile-group的名称为organizations/example-org/locations/global/securityProfileGroups/example-security-profile-group。您只能将一个安全配置文件添加到安全配置文件组中。
防火墙规则必须包含拦截端点要使用的安全配置文件组的名称。
安全配置文件组仅在您添加具有
APPLY_SECURITY_PROFILE_GROUP操作的防火墙规则时应用于带内集成防火墙政策。您可以在分层防火墙政策规则和全球网络防火墙政策规则中配置安全配置文件组。根据防火墙规则的标志方向,该规则可以同时影响 Virtual Private Cloud (VPC) 网络中的传入和传出流量。然后,被拦截的流量会发送到配置的安全配置文件组所引用的安全配置文件中定义的拦截端点组。随后,拦截端点组会将拦截的流量重定向到网络部署所附加的生产者部署组。
每个安全配置文件组都必须具有关联的项目 ID。关联的项目用于配额。如果您使用
gcloud auth activate-service-account命令对您的服务账号进行身份验证,则可以将您的服务账号与安全配置文件组相关联。如需详细了解如何创建安全配置文件组,请参阅创建和管理安全配置文件组。
Identity and Access Management 角色
下表介绍了管理安全配置文件组所需的 Identity and Access Management (IAM) 角色:
| 特性 | 必要角色 |
|---|---|
| 创建安全配置文件组 | 创建安全配置文件组的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 修改安全配置文件组 | 创建安全配置文件组的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 查看组织中安全配置文件组的详细信息 | 创建安全配置文件组的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 查看组织中的所有安全配置文件组 | 创建安全配置文件组的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 在带内集成政策规则中使用安全配置文件组 | 创建安全配置文件组的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
如果您没有 Security Profile Admin 角色 (networksecurity.securityProfileAdmin),则可以创建具有以下权限的安全配置文件组:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
如需详细了解 IAM 权限和预定义角色,请参阅 IAM 权限参考文档。
配额
如需查看与安全配置文件组关联的配额,请参阅配额和限制。