安全配置文件是一种自定义的组织级全局政策,拦截防火墙规则会将其应用于拦截的流量。
安全配置文件用于定义网络安全集成服务如何处理网络流量。您可以使用安全配置文件将端点组与虚拟私有云 (VPC) 网络相关联。与防火墙规则搭配使用时,安全配置文件会将网络流量定向到拦截端点组。
本页面详细介绍了安全配置文件及其功能。
规格
安全配置文件具有以下规范:
安全配置文件是一种自定义的全局组织级资源。
安全配置文件的名称采用以下格式进行配置:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_ID例如,组织
example-org中安全配置文件组 IDexample-security-profile的名称为organizations/example-org/locations/global/securityProfiles/example-security-profile。创建安全配置文件后,将其附加到安全配置文件组。VPC 网络的此网络防火墙政策会引用安全配置文件,以在网络安全集成中处理您的网络流量。
与网络防火墙政策规则匹配的流量会发送到安全配置文件引用的端点组。
将每个安全配置文件与一个项目 ID 相关联。关联项目用于安全配置文件资源的配额。如果您使用
gcloud auth activate-service-account命令对您的服务账号进行身份验证,则可以将您的服务账号与安全配置文件相关联。如需详细了解如何创建安全配置文件,请参阅创建和管理自定义安全配置文件。
Identity and Access Management 角色
下表介绍了管理安全配置文件所需的 Identity and Access Management (IAM) 角色:
| 特性 | 必要角色 |
|---|---|
| 创建自定义拦截安全配置文件 | 创建自定义拦截安全配置文件的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 修改自定义拦截安全配置文件 | 创建自定义拦截安全配置文件的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 查看组织中自定义拦截安全配置文件的详细信息 | 创建自定义拦截安全配置文件的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 查看组织中的所有自定义拦截安全配置文件 | 创建自定义拦截安全配置文件的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 在安全配置文件组中使用自定义拦截安全配置文件 | 创建自定义拦截安全配置文件的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
如果您没有安全配置文件管理员角色 (networksecurity.securityProfileAdmin),则可以创建具有以下权限的自定义拦截安全配置文件:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
如需详细了解 IAM 权限和预定义角色,请参阅 IAM 权限参考文档。
配额
如需查看与自定义拦截安全配置文件关联的配额,请参阅配额和限制。