Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על קבוצות של פרופילי אבטחה

קבוצת פרופילי אבטחה היא מאגר לפרופילי אבטחה בהתאמה אישית. כלל שיקוף מפנה לקבוצת פרופילים של אבטחה כדי לאפשר את העיבוד של תעבורת נתונים ברשת במסגרת Network Security Integration.

במסמך הזה מפורטת סקירה כללית על קבוצות של פרופילי אבטחה ועל היכולות שלהן.

מפרטים

קבוצת פרופילים של אבטחה היא משאב גלובלי ברמת הארגון או ברמת הפרויקט (גרסת טרום-השקה (Preview)).
השם של קבוצת פרופילים לאבטחה מוגדר בפורמט הבא של מזהה כתובת URL:
- ברמת הארגון: organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
- ברמת הפרויקט (תצוגה מקדימה): projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
הNAME של קבוצת פרופילי האבטחה צריך לעמוד בדרישות הבאות:
- מחרוזת באורך 1-63 תווים
- השם יכול להכיל רק תווים אלפאנומריים באותיות קטנות או מקפים (-).
- מתחיל באות
דוגמאות:
- קבוצת פרופילים של אבטחה ברמת הארגון: organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group.
- קבוצת פרופילים לאבטחה ברמת הפרויקט (גרסת Preview): projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group.
אם משתמשים במזהה הייחודי של כתובת ה-URL בשביל שם קבוצת פרופילי האבטחה, כתובת ה-URL כבר כוללת את הארגון או הפרויקט ואת המיקום. אם מציינים רק את השם המקוצר, צריך לספק בנפרד את מזהה הארגון או את מזהה הפרויקט והמיקום כשמשתמשים בפקודות gcloud.
אפשר להוסיף לקבוצת פרופילים של אבטחה רק פרופיל אבטחה אחד מסוג CUSTOM_MIRRORING.
כלל הרפליקציה חייב להכיל את השם של קבוצת פרופילי האבטחה שבה ישתמשו נקודות הקצה של הרפליקציה.
קבוצות של פרופילי אבטחה חלות על מדיניות רפליקציה של חבילות נתונים רק כשמוסיפים כלל רפליקציה עם הפעולה MIRROR. אפשר להגדיר קבוצות של פרופילי אבטחה בכללים של מדיניות חומת אש היררכית ובכללים של מדיניות חומת אש גלובלית לרשת.
בהתאם לכיוון הדגל של כלל הרפליקציה, הכלל משפיע על תעבורת הנתונים הנכנסת והיוצאת ברשת הענן הווירטואלי הפרטי (VPC). התעבורה המשוכפלת נשלחת לקבוצת נקודות הקצה של השכפול שהוגדרה בפרופיל האבטחה שאליו מפנה קבוצת פרופילי האבטחה שהוגדרה. לאחר מכן, קבוצת נקודות הקצה של שיקוף התנועה מפנה את התנועה המשוקפת לקבוצת הפריסה של היצרן שמצורפת על ידי פריסות של צד שלישי.
לכל קבוצת פרופילים של אבטחה צריך להיות מזהה פרויקט משויך. הפרויקט המשויך משמש למכסות ולהגבלות גישה למשאבים של קבוצות פרופילי אבטחה. אם מאמתים את חשבון השירות באמצעות הפקודה gcloud auth activate-service-account, אפשר לשייך את חשבון השירות לקבוצת פרופילי האבטחה. מידע נוסף על יצירה של קבוצת פרופילים לאבטחה זמין במאמר בנושא יצירה וניהול של קבוצות פרופילים לאבטחה.
כשמוסיפים פרופילי אבטחה לקבוצת פרופילי אבטחה, חלים האילוצים הבאים:
- קבוצת פרופילים של אבטחה ברמת הארגון יכולה להפנות רק לפרופילים של אבטחה ברמת הארגון.
- קבוצת פרופילים של אבטחה ברמת הפרויקט (גרסת טרום-השקה (Preview)) יכולה להפנות רק לפרופילים של אבטחה ברמת הפרויקט (גרסת טרום-השקה (Preview)) באותו פרויקט.

תפקידים בניהול זהויות והרשאות גישה (IAM)

בטבלה הבאה מפורטים התפקידים שנדרשים בכל שלב.

יכולת	תפקיד נדרש
יצירה של קבוצת פרופילי אבטחה	תפקיד אדמין של פרופיל אבטחה (`networksecurity.securityProfileAdmin`) בארגון או בפרויקט שבהם רוצים ליצור קבוצת פרופילים של אבטחה.
שינוי קבוצה של פרופילי אבטחה	התפקיד Security Profile Admin ‏ (`networksecurity.securityProfileAdmin`) בארגון או בפרויקט שבו קיימת קבוצת פרופילים של אבטחה.
הצגת פרטים על קבוצת פרופילים של אבטחה בארגון או בפרויקט	אחד מהתפקידים הבאים בארגון או בפרויקט שבו קיימת קבוצת פרופילי האבטחה: אדמין של פרופיל אבטחה (`networksecurity.securityProfileAdmin`) תפקיד המשתמש ברשת Compute (`compute.networkUser`) צפייה ברשת ב-Compute (`compute.networkViewer`)
הצגת כל קבוצות פרופילי האבטחה בארגון או בפרויקט	אחד מהתפקידים הבאים בארגון או בפרויקט שבו קיימת קבוצת פרופילי האבטחה: אדמין של פרופיל אבטחה (`networksecurity.securityProfileAdmin`) תפקיד המשתמש ברשת Compute (`compute.networkUser`) צפייה ברשת ב-Compute (`compute.networkViewer`)
שימוש בקבוצת פרופילים של אבטחה בכלל הארגון או בפרויקט בכלל, בכלל מדיניות שיקוף המנות	אחד מהתפקידים הבאים בארגון או בפרויקט שבו קיימת קבוצת פרופילי האבטחה: אדמין של פרופיל אבטחה (`networksecurity.securityProfileAdmin`) תפקיד המשתמש ברשת Compute (`compute.networkUser`)

אם אין לכם את התפקיד Security Profile Admin (roles/networksecurity.securityProfileAdmin), אתם יכולים ליצור ולנהל קבוצות של פרופילי אבטחה עם ההרשאות הבאות:

networksecurity.securityProfileGroups.create
networksecurity.securityProfileGroups.delete
networksecurity.securityProfileGroups.get
networksecurity.securityProfileGroups.list
networksecurity.securityProfileGroups.update
networksecurity.securityProfileGroups.use

במאמר חומר עזר בנושא הרשאות ב-IAM תוכלו לקרוא מידע נוסף על הרשאות ב-IAM ועל תפקידים מוגדרים מראש.

מכסות

כדי לראות את המכסות שמשויכות לקבוצות של פרופילי אבטחה, אפשר לעיין במאמר בנושא מכסות ומגבלות.

סקירה כללית על קבוצות של פרופילי אבטחה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מפרטים

תפקידים בניהול זהויות והרשאות גישה (IAM)

מכסות

המאמרים הבאים

סקירה כללית על קבוצות של פרופילי אבטחה