Un perfil de seguridad es una política global personalizada que las reglas de firewall de interceptación aplican al tráfico interceptado.
Los perfiles de seguridad definen cómo el servicio de Integración de seguridad de red controla el tráfico de red. Usas perfiles de seguridad para asociar un grupo de extremos con la red de nube privada virtual (VPC). Cuando se usa con una regla de firewall, un perfil de seguridad dirige el tráfico de red al grupo de extremos de interceptación.
En esta página, se proporciona una descripción general detallada de los perfiles de seguridad y sus capacidades.
Especificaciones
Los perfiles de seguridad tienen las siguientes especificaciones:
El nombre de un perfil de seguridad se configura en el siguiente formato de identificador de URL:
A nivel de la organización:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMEA nivel del proyecto (vista previa):
projects/PROJECT_ID/locations/global/securityProfiles/NAME
El
NAMEdel perfil de seguridad debe cumplir con los siguientes requisitos:- Una string de 1 a 63 caracteres
- Solo contiene caracteres alfanuméricos en minúscula o guiones (-)
- Comienza con una letra
Ejemplos:
- Perfil de seguridad a nivel de la organización:
organizations/2345678432/locations/global/securityProfiles/example-security-profile. - Perfil de seguridad a nivel del proyecto (vista previa):
projects/my-project-123/locations/global/securityProfiles/example-security-profile.
Si usas el identificador de URL único para el nombre del perfil de seguridad, la URL ya incluye la organización o el proyecto, y la ubicación. Si solo especificas el nombre corto, debes proporcionar el ID de la organización o el ID del proyecto y la ubicación por separado cuando uses los comandos de
gcloud.Después de crear un perfil de seguridad, adjúntalo a un grupo de perfiles de seguridad. Esta política de firewall de red de la red de VPC hace referencia al perfil de seguridad para procesar el tráfico de red dentro de la integración de seguridad de red.
El tráfico que coincide con la regla de política de firewall de red se envía al grupo de extremos al que hace referencia el perfil de seguridad.
Asocia cada perfil de seguridad con un ID del proyecto. El proyecto asociado se usa para las cuotas en los recursos del perfil de seguridad. Si autenticas la cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociarla con el perfil de seguridad. Si quieres obtener más información para crear un perfil de seguridad, consulta Crea y administra perfiles de seguridad personalizados.
Roles de Identity and Access Management
En la siguiente tabla, se describen los roles de Identity and Access Management (IAM) necesarios para administrar los perfiles de seguridad:
| Capacidad | Rol necesario |
|---|---|
| Crea un perfil de seguridad de interceptación personalizado | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización o el proyecto en el que deseas crear un perfil de seguridad
personalizado |
| Cómo modificar un perfil de seguridad de interceptación personalizado | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización o el proyecto en el que existe el perfil de seguridad personalizado. |
| Visualiza los detalles del perfil de seguridad de interceptación personalizado en una organización o un proyecto | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que existe el perfil de seguridad personalizado. |
| Visualiza todos los perfiles de seguridad de interceptación personalizados en una organización o un proyecto | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que existe el perfil de seguridad personalizado. |
| Usar un perfil de seguridad de interceptación personalizado en un grupo de perfiles de seguridad | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin)
en la organización o el proyecto en el que existe el perfil de seguridad personalizado. |
Si no tienes el rol de administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin), puedes crear un perfil de seguridad de interceptación personalizado con los siguientes permisos:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Para obtener más información sobre los permisos de IAM y los roles predefinidos, consulta la referencia de permisos de IAM.
Cuotas
Para ver las cuotas asociadas con los perfiles de seguridad de interceptación personalizados, consulta Cuotas y límites.
¿Qué sigue?
- Crea y administra grupos de perfiles de seguridad
- Crea y administra perfiles de seguridad de interceptación personalizados