Um grupo de perfis de segurança é um contêiner para perfis de segurança personalizados. Uma regra de espelhamento referencia um grupo de perfis de segurança para ativar o processamento do tráfego de rede na integração de segurança de rede.
Neste documento, você encontra informações gerais detalhadas dos grupos de perfis de segurança e dos respectivos recursos.
Especificações
Um grupo de perfis de segurança é um recurso global no nível da organização ou para envolvidos no projeto (pré-lançamento).
O nome de um grupo de perfis de segurança é configurado no seguinte formato de identificador de URL:
Nível da organização:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMEPara envolvidos no projeto (pré-lançamento):
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
O
NAMEdo grupo de perfis de segurança precisa atender aos seguintes requisitos:- Uma string com 1 a 63 caracteres
- Contém apenas caracteres alfanuméricos minúsculos ou hifens (-)
- Começa com uma letra
Exemplos:
- Grupo de perfis de segurança no nível da organização:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group. - Grupo de perfis de segurança para envolvidos no projeto (pré-lançamento):
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.
Se você usar o identificador de URL exclusivo para o nome do grupo de perfis de segurança, o URL já vai incluir a organização ou o projeto e o local. Se você especificar apenas o nome abreviado, será necessário fornecer o ID da organização ou o ID do projeto e o local separadamente ao usar comandos
gcloud.É possível adicionar apenas um perfil de segurança do tipo
CUSTOM_MIRRORINGa um grupo de perfis de segurança.Uma regra de espelhamento precisa conter o nome do grupo de perfis de segurança a ser usado pelos endpoints de espelhamento.
Os grupos de perfis de segurança se aplicam às políticas de espelhamento de pacotes somente quando você adiciona uma regra de espelhamento com a ação
MIRROR. É possível configurar grupos de perfis de segurança em regras de política hierárquica de firewall e regras de política de firewall de rede global.Dependendo da direção do flag da regra de espelhamento, a regra afeta o tráfego de entrada e saída na rede de nuvem privada virtual (VPC). O tráfego espelhado é enviado ao grupo de endpoints de espelhamento definido no perfil de segurança referenciado pelo grupo de perfis de segurança configurado. Em seguida, o grupo de endpoints de espelhamento redireciona o tráfego espelhado para o grupo de implantação do produtor anexado por implantações de terceiros.
Cada grupo de perfis de segurança precisa ter um ID do projeto associado. O projeto associado é usado para faturamento, cotas e restrições de acesso a recursos de grupo de perfil de segurança. Se você autenticar sua conta de serviço usando o comando
gcloud auth activate-service-account, será possível associar sua conta de serviço ao grupo de perfis de segurança. Para saber como criar um grupo de perfis de segurança, consulte Criar e gerenciar grupos de perfis de segurança.Ao adicionar perfis de segurança a um grupo de perfis de segurança, as seguintes restrições se aplicam:
- Um grupo de perfis de segurança no nível da organização só pode referenciar perfis de segurança no nível da organização.
- Um grupo de perfis de segurança para envolvidos no projeto (pré-lançamento) só pode referenciar perfis de segurança para envolvidos no projeto (pré-lançamento) no mesmo projeto.
Papéis do Identity and Access Management
Veja na tabela a seguir os papéis necessários para cada etapa.
| Habilidade | Papel necessário |
|---|---|
| Criar um grupo de perfis de segurança | Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que você quer criar um grupo de perfis de segurança. |
| Modificar um grupo de perfis de segurança | Papel de administrador de perfil de segurança (networksecurity.securityProfileAdmin) na organização ou no projeto em que o grupo de perfis de segurança existe. |
| Visualizar detalhes sobre o grupo de perfis de segurança em uma organização ou projeto | Qualquer um dos seguintes papéis na organização ou no projeto em que o grupo de perfis de segurança existe:
|
| Visualizar todos os grupos de perfis de segurança em uma organização ou projeto | Qualquer um dos seguintes papéis na organização ou no projeto em que o grupo de perfis de segurança existe:
|
| Usar um grupo de perfis de segurança em uma regra de política de espelhamento de pacotes em uma organização ou projeto | Qualquer um dos seguintes papéis na organização ou no projeto em que o grupo de perfis de segurança existe:
|
Se você não tiver o
papel de administrador de perfil de segurança (roles/networksecurity.securityProfileAdmin),
poderá criar e gerenciar grupos de perfis de segurança com as seguintes permissões:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
Para mais informações sobre permissões do IAM e papéis predefinidos, consulte Referência de permissões do IAM.
Cotas
Para visualizar as cotas associadas aos grupos de perfis de segurança, consulte Cotas e limites.
A seguir
- Criar e gerenciar grupos de perfis de segurança
- Criar e gerenciar perfis de segurança personalizados