安全配置文件组是自定义安全配置文件的容器。 镜像规则引用安全配置文件组,以在 Network Security Integration 中启用网络流量处理。
本文档详细介绍了安全配置文件组及其功能。
规格
安全配置文件组是组织级层或项目级层资源(预览版)。
安全配置文件组的名称采用以下网址标识符格式进行配置:
组织级:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME项目级(预览版):
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
安全配置文件组的
NAME必须满足以下要求:- 长度为 1-63 个字符的字符串
- 只能包含小写字母数字字符或连字符 (-)
- 以字母开头
示例:
- 组织级安全配置文件组:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group。 - 项目级安全配置文件组(预览版):
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group。
如果您为安全配置文件组名称使用唯一网址标识符,则该网址已包含组织或项目以及位置。如果您仅指定简称,则在使用
gcloud命令时,必须单独提供组织 ID 或项目 ID 和位置。您只能将一个类型为
CUSTOM_MIRRORING的安全配置文件添加到安全配置文件组中。镜像规则必须包含镜像端点要使用的安全配置文件组的名称。
安全配置文件组仅在您添加具有
MIRROR操作的镜像规则时应用于数据包镜像政策。您可以在分层防火墙政策规则和全球网络防火墙政策规则中配置安全配置文件组。根据镜像规则的标志方向,该规则会影响 Virtual Private Cloud (VPC) 网络内的传入和传出流量。然后,镜像流量会发送到配置的安全配置文件组所引用的安全配置文件中定义的镜像端点组。随后,镜像端点组会将镜像流量重定向到第三方部署所附加的生产者部署组。
每个安全配置文件组都必须具有关联的项目 ID。关联项目用于安全配置文件组资源的配额和访问权限限制。如果您使用
gcloud auth activate-service-account命令对您的服务账号进行身份验证,则可以将您的服务账号与安全配置文件组相关联。如需详细了解如何创建安全配置文件组,请参阅创建和管理安全配置文件组。将安全配置文件添加到安全配置文件组时,需遵守以下限制:
Identity and Access Management 角色
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建安全配置文件组 | 您要在其中创建安全配置文件组的组织或项目的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 修改安全配置文件组 | 拥有安全配置文件组所在组织或项目的安全配置文件管理员角色 (networksecurity.securityProfileAdmin)。 |
| 查看组织或项目中的安全配置文件组的详细信息 | 组织或安全配置文件组所在项目的以下任意角色:
|
| 查看组织或项目中的所有安全配置文件组 | 组织或安全配置文件组所在项目的以下任意角色:
|
| 在组织或项目中使用数据包镜像政策规则中的安全配置文件组 | 组织或安全配置文件组所在项目的以下任意角色:
|
如果您没有安全配置文件管理员角色 (roles/networksecurity.securityProfileAdmin),则可以使用以下权限创建和管理安全配置文件组:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
如需详细了解 IAM 权限和预定义角色,请参阅 IAM 权限参考文档。
配额
如需查看与安全配置文件组关联的配额,请参阅配额和限制。