安全性設定檔群組是自訂攔截安全性設定檔的容器。 攔截規則會參照安全性設定檔群組,在 Network Security Integration 中處理網路流量。
本頁面詳細說明安全性設定檔群組及其功能。
規格
安全性設定檔群組的規格如下:
安全性設定檔群組是全球組織層級的資源。
安全性設定檔群組的名稱格式如下:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID舉例來說,機構
example-org中安全性設定檔群組 IDexample-security-profile-group的名稱為organizations/example-org/locations/global/securityProfileGroups/example-security-profile-group。您只能將一個安全性設定檔新增至安全性設定檔群組。
防火牆規則必須包含攔截端點使用的安全性設定檔群組名稱。
只有在新增動作為
APPLY_SECURITY_PROFILE_GROUP的防火牆規則時,安全性設定檔群組才會套用至頻內整合防火牆政策。您可以在階層式防火牆政策規則和全域網路防火牆政策規則中設定安全性設定檔群組。視防火牆規則的旗標方向而定,規則可能會影響虛擬私有雲 (VPC) 網路內的傳入和傳出流量。攔截的流量隨後會傳送至已設定安全性設定檔群組所參照安全性設定檔中定義的攔截端點群組。隨後,攔截端點群組會將攔截到的流量重新導向至網路部署項目附加的生產者部署項目群組。
每個安全性設定檔群組都必須有相關聯的專案 ID。系統會使用相關聯的專案配額。如果您使用
gcloud auth activate-service-account指令驗證服務帳戶,可以將服務帳戶與安全性設定檔群組建立關聯。如要進一步瞭解如何建立安全性設定檔群組,請參閱「建立及管理安全性設定檔群組」。
身分與存取權管理角色
下表說明管理安全性設定檔群組時需具備的 Identity and Access Management (IAM) 角色:
| 能力 | 必要角色 |
|---|---|
| 建立安全性設定檔群組 | 安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)
在建立安全性設定檔群組的機構中。 |
| 修改安全性設定檔群組 | 在建立安全性設定檔群組的機構中,指派安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)。 |
| 查看機構中安全性設定檔群組的詳細資料 | 安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)
在建立安全性設定檔群組的機構中。 |
| 查看機構中的所有安全性設定檔群組 | 安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)
在建立安全性設定檔群組的機構中。 |
| 在頻內整合政策規則中使用安全性設定檔群組 | 安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)
在建立安全性設定檔群組的機構中。 |
如果您沒有安全性設定檔管理員角色 (networksecurity.securityProfileAdmin),可以透過下列權限建立安全性設定檔群組:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
如要進一步瞭解 IAM 權限和預先定義的角色,請參閱 IAM 權限參考資料。
配額
如要查看與安全性設定檔群組相關聯的配額,請參閱「配額與限制」。