安全性設定檔群組是自訂安全性設定檔的容器。 鏡像規則會參照安全性設定檔群組,以便在 Network Security Integration 中處理網路流量。
本文詳細介紹安全性設定檔群組及其功能。
規格
安全性設定檔群組是組織層級的資源。
您只能將一個 安全性設定檔 (類型為
CUSTOM_MIRRORING) 新增至安全性設定檔群組。每個安全性設定檔群組都有專屬網址,包含下列元素:
- 機構 ID:機構的 ID。
- 位置:安全性設定檔群組的範圍。位置一律設為「
global」。 - 名稱:安全性設定檔群組名稱,格式如下:
- 長度介於 1 至 63 個字元的字串
- 只能包含小寫英數字元或連字號 (-)
- 開頭須為英文字母
如要為安全性設定檔群組建構專屬網址 ID,請使用下列格式:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME更改下列內容:
ORGANIZATION_ID:組織 ID。LOCATION:安全性設定檔群組的範圍。 位置一律設為「global」。SECURITY_PROFILE_GROUP_NAME:安全性設定檔群組的名稱。
舉例來說,機構
2345678432中的global安全性設定檔群組example-security-profile-group具有下列專屬 ID:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group鏡像規則必須包含鏡像端點使用的安全性設定檔群組名稱。
只有在新增動作為
MIRROR的鏡像規則時,安全性設定檔群組才會套用至封包鏡像政策。您可以在階層式防火牆政策規則和全域網路防火牆政策規則中,設定安全性設定檔群組。視鏡像規則的旗標方向而定,規則會影響虛擬私有雲 (VPC) 網路內的傳入和傳出流量。鏡像流量隨後會傳送至安全性設定檔群組所參照安全性設定檔中定義的鏡像端點群組。隨後,鏡像端點群組會將鏡像流量重新導向至第三方部署項目附加的供應商部署項目群組。
每個安全性設定檔群組都必須有相關聯的專案 ID。相關聯的專案會用於安全性設定檔群組資源的配額和存取限制。如果您使用
gcloud auth activate-service-account指令驗證服務帳戶,可以將服務帳戶與安全性設定檔群組建立關聯。如要進一步瞭解如何建立安全性設定檔群組,請參閱「建立及管理安全性設定檔群組」。
身分與存取權管理角色
Identity and Access Management (IAM) 角色可控管下列安全性設定檔群組動作:
- 在機構中建立安全性設定檔群組
- 修改或刪除安全性設定檔群組
- 查看安全性設定檔群組的詳細資料
- 查看機構中的安全性設定檔群組清單
- 在封包鏡像政策規則中使用安全性設定檔群組
下表說明每個步驟所需的角色。
| 能力 | 必要角色 |
|---|---|
| 建立安全性設定檔群組 | 安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)
在建立安全性設定檔群組的機構中。 |
| 修改安全性設定檔群組 | 在建立安全性設定檔群組的機構中,指派安全性設定檔管理員角色 (networksecurity.securityProfileAdmin)。 |
| 查看機構中安全性設定檔群組的詳細資料 | 機構的下列任一角色:
|
| 查看機構中的所有安全性設定檔群組 | 機構的下列任一角色:
|
| 在封包鏡像政策規則中使用安全性設定檔群組 | 機構的下列任一角色:
|
如果您沒有安全性設定檔管理員角色 (roles/networksecurity.securityProfileAdmin),可以透過下列權限建立及管理安全性設定檔群組:
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
如要進一步瞭解 IAM 權限和預先定義的角色,請參閱 IAM 權限參考資料。
配額
如要查看與安全性設定檔群組相關聯的配額,請參閱「配額與限制」。