安全性設定檔群組是自訂安全性設定檔的容器。 鏡像規則會參照安全設定檔群組,以便在網路安全整合服務中處理網路流量。
本文詳細介紹安全性設定檔群組及其功能。
規格
安全性設定檔群組是全域機構層級或專案層級的資源 (預覽版)。
安全性設定檔群組的名稱採用下列網址 ID 格式設定:
機構層級:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME專案層級 (預先發布版):
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
NAME安全性設定檔群組必須符合下列規定:- 長度介於 1 至 63 個字元的字串
- 只能包含小寫英數字元或連字號 (-)
- 以英文字母開頭
範例:
- 機構層級安全性設定檔群組:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group。 - 專案層級安全性設定檔群組 (搶先版):
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group。
如果您使用專屬網址 ID 做為安全設定檔群組名稱,網址已包含機構或專案,以及位置。如果只指定簡稱,使用
gcloud指令時,必須分別提供機構 ID 或專案 ID 和位置。您只能將一個 安全性設定檔 (類型為
CUSTOM_MIRRORING) 新增至安全性設定檔群組。鏡像規則必須包含鏡像端點使用的安全設定檔群組名稱。
只有在新增動作為
MIRROR的鏡像規則時,安全性設定檔群組才會套用至封包鏡像政策。您可以在階層式防火牆政策規則和全域網路防火牆政策規則中,設定安全性設定檔群組。視鏡像規則的旗標方向而定,規則會影響虛擬私有雲 (VPC) 網路內的傳入和傳出流量。然後,系統會將鏡像流量傳送至已設定安全性設定檔群組所參照安全性設定檔中定義的鏡像端點群組。隨後,鏡像端點群組會將鏡像流量重新導向至第三方部署項目附加的供應商部署項目群組。
每個安全性設定檔群組都必須有相關聯的專案 ID。相關聯的專案會用於安全設定檔群組資源的配額和存取限制。如果您使用
gcloud auth activate-service-account指令驗證服務帳戶,可以將服務帳戶與安全性設定檔群組建立關聯。如要進一步瞭解如何建立安全性設定檔群組,請參閱「建立及管理安全性設定檔群組」。將安全性設定檔新增至安全性設定檔群組時,請遵守下列限制:
身分與存取權管理角色
下表說明每個步驟所需的角色。
| 能力 | 必要角色 |
|---|---|
| 建立安全性設定檔群組 | 在要建立安全性設定檔群組的機構或專案中,擁有安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)。 |
| 修改安全性設定檔群組 | 安全性設定檔管理員角色 (networksecurity.securityProfileAdmin),適用於安全性設定檔群組所在的機構或專案。 |
| 查看機構或專案中的安全性設定檔群組詳細資料 | 在機構或安全性設定檔群組所在的專案中,具備下列任一角色:
|
| 查看機構或專案中的所有安全性設定檔群組 | 在機構或安全性設定檔群組所在的專案中,具備下列任一角色:
|
| 在機構或專案的封包鏡像政策規則中使用安全設定檔群組 | 在機構或安全性設定檔群組所在的專案中,具備下列任一角色:
|
如果您沒有安全性設定檔管理員角色 (roles/networksecurity.securityProfileAdmin),可以透過下列權限建立及管理安全性設定檔群組:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
如要進一步瞭解 IAM 權限和預先定義的角色,請參閱 IAM 權限參考資料。
配額
如要查看與安全性設定檔群組相關聯的配額,請參閱「配額與限制」。