安全配置文件组是自定义安全配置文件的容器。 镜像规则引用安全配置文件组,以在网络安全集成中启用网络流量处理。
本文档详细介绍了安全配置文件组及其功能。
规格
安全配置文件组是组织级层资源。
您只能将一个类型为
CUSTOM_MIRRORING的安全配置文件添加到安全配置文件组中。每个安全配置文件组都由包含以下元素的网址唯一标识:
- 组织 ID:组织的 ID。
- 位置:安全配置文件组的范围。位置始终设置为
global。 - 名称:安全配置文件组名称,格式如下:
- 长度为 1-63 个字符的字符串
- 只能包含小写字母数字字符或连字符 (-)
- 必须以字母开头
如需为安全配置文件组构建唯一的网址标识符,请使用以下格式:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME替换以下内容:
ORGANIZATION_ID:组织的 ID。LOCATION:安全配置文件组的范围。 位置始终设置为global。SECURITY_PROFILE_GROUP_NAME:安全配置文件组的名称。
例如,组织
2345678432中的global安全配置文件组example-security-profile-group具有以下唯一标识符:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group镜像规则必须包含镜像端点要使用的安全配置文件组的名称。
安全配置文件组仅在您添加具有
MIRROR操作的镜像规则时应用于数据包镜像政策。您可以在分层防火墙政策规则和全球网络防火墙政策规则中配置安全配置文件组。根据镜像规则的标志方向,该规则会影响 Virtual Private Cloud (VPC) 网络内的传入和传出流量。然后,镜像流量会发送到配置的安全配置文件组所引用的安全配置文件中定义的镜像端点组。随后,镜像端点组会将镜像流量重定向到由第三方部署附加的生产者部署组。
每个安全配置文件组都必须具有关联的项目 ID。关联项目用于安全配置文件组资源的配额和访问权限限制。如果您使用
gcloud auth activate-service-account命令对您的服务账号进行身份验证,则可以将您的服务账号与安全配置文件组相关联。如需详细了解如何创建安全配置文件组,请参阅创建和管理安全配置文件组。
Identity and Access Management 角色
Identity and Access Management (IAM) 角色控制以下安全配置文件组操作:
- 在组织中创建安全配置文件组
- 修改或删除安全配置文件组
- 查看安全配置文件组的详细信息
- 查看组织中的安全配置文件组列表
- 在数据包镜像政策规则中使用安全配置文件组
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建安全配置文件组 | 创建安全配置文件组的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 修改安全配置文件组 | 创建安全配置文件组的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。 |
| 查看组织中安全配置文件组的详细信息 | 拥有组织的以下任何角色:
|
| 查看组织中的所有安全配置文件组 | 拥有组织的以下任何角色:
|
| 在数据包镜像政策规则中使用安全配置文件组 | 拥有组织的以下任何角色:
|
如果您没有安全配置文件管理员角色 (roles/networksecurity.securityProfileAdmin),则可以使用以下权限创建和管理安全配置文件组:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
如需详细了解 IAM 权限和预定义角色,请参阅 IAM 权限参考文档。
配额
如需查看与安全配置文件组关联的配额,请参阅配额和限制。