Un grupo de perfiles de seguridad es un contenedor de perfiles de seguridad personalizados. Una regla de duplicación hace referencia a un grupo de perfiles de seguridad para habilitar el procesamiento del tráfico de red dentro de la integración de seguridad de redes.
En este documento, se proporciona una descripción general detallada de los grupos de perfiles de seguridad y sus capacidades.
Especificaciones
Un grupo de perfiles de seguridad es un recurso global a nivel de la organización o a nivel del proyecto (vista previa).
El nombre de un grupo de perfiles de seguridad se configura en el siguiente formato de identificador de URL:
Nivel de la organización:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMENivel del proyecto (vista previa):
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
El
NAMEdel grupo de perfiles de seguridad debe cumplir con los siguientes requisitos:- Una string de 1 a 63 caracteres
- Solo contiene caracteres alfanuméricos en minúscula o guiones (-)
- Comienza con una letra
Ejemplos:
- Grupo de perfiles de seguridad a nivel de la organización:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group. - Grupo de perfiles de seguridad a nivel del proyecto (vista previa):
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.
Si usas el identificador de URL único para el nombre del grupo de perfiles de seguridad, la URL ya incluye la organización o el proyecto, y la ubicación. Si especificas solo el nombre corto, debes proporcionar el ID de la organización o el ID del proyecto y la ubicación por separado cuando usas comandos
gcloud.Solo puedes agregar un perfil de seguridad de tipo
CUSTOM_MIRRORINGa un grupo de perfiles de seguridad.Una regla de duplicación debe contener el nombre del grupo de perfiles de seguridad que usarán los extremos de duplicación.
Los grupos de perfiles de seguridad se aplican a las políticas de duplicación de paquetes solo cuando agregas una regla de duplicación con la acción
MIRROR. Puedes configurar grupos de perfiles de seguridad en reglas de políticas de firewall jerárquicas y reglas de políticas de firewall de red globales.Según la dirección de la marca de la regla de duplicación, la regla afecta el tráfico entrante y saliente dentro de la red de nube privada virtual (VPC). Luego, el tráfico duplicado se envía al grupo de extremos de duplicación definido en el perfil de seguridad al que hace referencia el grupo de perfiles de seguridad configurado. Posteriormente, el grupo de extremos de duplicación redirecciona el tráfico duplicado al grupo de implementación del productor adjunto por implementaciones de terceros.
Cada grupo de perfiles de seguridad debe tener un ID del proyecto asociado. El proyecto asociado se usa para las cuotas y las restricciones de acceso en los recursos del grupo de perfiles de seguridad. Si autenticas la cuenta de servicio con el comando
gcloud auth activate-service-account, puedes asociarla con el grupo de perfiles de seguridad. Si quieres obtener más información para crear un grupo de perfiles de seguridad, consulta Crea y administra grupos de perfiles de seguridad.Cuando agregas perfiles de seguridad a un grupo de perfiles de seguridad, se aplican las siguientes restricciones:
- Un grupo de perfiles de seguridad a nivel de la organización solo puede hacer referencia a perfiles de seguridad a nivel de la organización.
- Un grupo de perfiles de seguridad a nivel del proyecto (vista previa) solo puede hacer referencia a perfiles de seguridad a nivel del proyecto (vista previa) en el mismo proyecto.
Funciones de Identity and Access Management
En la siguiente tabla, se describen los roles necesarios para cada paso.
| Capacidad | Rol necesario |
|---|---|
| Crear un grupo de perfil de seguridad | Rol de administrador de perfiles de seguridad (networksecurity.securityProfileAdmin) en la organización o el proyecto en el que deseas crear un grupo de perfiles de seguridad. |
| Modificar un grupo de perfiles de seguridad | Rol de administrador de perfiles de
seguridad (networksecurity.securityProfileAdmin)
en la organización o el proyecto en el que existe el grupo de perfiles de
seguridad. |
| Visualizar los detalles del grupo de perfiles de seguridad de una organización o un proyecto | Cualquiera de los siguientes roles en la organización o el proyecto en el que existe el grupo de perfiles de seguridad:
|
| Visualiza todos los grupos de perfiles de seguridad de una organización o un proyecto | Cualquiera de los siguientes roles en la organización o el proyecto en el que existe el grupo de perfiles de seguridad:
|
| Usar un grupo de perfiles de seguridad en una regla de política de duplicación de paquetes en una organización o un proyecto | Cualquiera de los siguientes roles en la organización o el proyecto en el que existe el grupo de perfiles de seguridad:
|
Si no tienes el
rol de administrador de perfiles de seguridad (roles/networksecurity.securityProfileAdmin),
puedes crear y administrar grupos de perfiles de seguridad con los siguientes permisos:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Para obtener más información sobre los permisos de IAM y los roles predefinidos, consulta la referencia de permisos de IAM.
Cuotas
Para ver las cuotas asociadas con los grupos de perfiles de seguridad, consulta Cuotas y límites.
¿Qué sigue?
- Crea y administra grupos de perfiles de seguridad
- Crea y administra perfiles de seguridad personalizados