Este documento explica como criar um domínio do Secure Access Connect. Um realm da Conexão de Acesso Seguro estabelece uma conexão entre seu projetoGoogle Cloud e um serviço de SSE.
Antes de começar
Antes de começar, faça o seguinte:
Configure um dos seguintes serviços de parceiros de SSE:
Funções exigidas
Para receber as permissões
necessárias para criar realms,
peça ao administrador para conceder a você o
papel do IAM de Administrador da rede do Compute (roles/compute.networkAdmin)
no projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Criar um domínio do Secure Access Connect
Crie um realm da Conexão de Acesso Seguro seguindo as instruções correspondentes ao seu provedor de SSE.
Prisma Access da Palo Alto Networks
Para criar um domínio, faça o seguinte:
gcloud
Crie um domínio executando o comando
gcloud beta network-security secure-access-connect realms create:gcloud beta network-security secure-access-connect realms create REALM_ID \ --security-service=prisma-accessSubstitua
REALM_IDpor um nome para o domínio.Para identificar a chave de pareamento do domínio, execute o comando
gcloud beta network-security secure-access-connect realms describe:gcloud beta network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_IDSubstitua:
REALM_ID: o nome do seu realmPROJECT_ID: ID do projeto;
O resultado será o seguinte:
createTime: '...' name: ... pairingKey: expireTime: '...' key: 12345678-0000-4321-1234-abcdefghijkl securityService: PALO_ALTO_PRISMA_ACCESS state: UNATTACHED updateTime: '...'O campo
keycontém a chave de pareamento.Use a chave de pareamento para configurar uma Managed Cloud WAN no Prisma Access.
API
Use o método projects.locations.sacRealms.create.
POST https://networksecurity.googleapis.com/v1beta1/project/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "PALO_ALTO_PRISMA_ACCESS"
}
Substitua:
PROJECT_ID: ID do projeto;REALM_ID: o nome do seu realm
Symantec Cloud SWG
Para criar um domínio, faça o seguinte:
gcloud
Se ainda não tiver feito isso, forneça a chave de API da Symantec ao Secure Access Connect da seguinte maneira:
No Symantec Cloud SWG, crie uma chave de API e defina Acesso como Gerenciamento de locais.
Armazene a chave de API no Secret Manager fazendo o seguinte:
Crie um secret no mesmo projeto em que você quer criar o realm.
Adicione uma versão do secret que contenha a chave de API. Não pode haver espaços em branco extras no conteúdo do segredo. Use o seguinte formato:
USERNAME:PASSWORDSubstitua:
USERNAME: o nome de usuário da chave de APIPASSWORD: a senha da chave de API
Execute o comando
gcloud beta network-security secure-access-connect realms createpara criar um domínio:gcloud beta network-security secure-access-connect realms create REALM_ID \ --security-service=symantec-cloud-swg \ --project=PROJECT_ID \ --symantec-secret=SECRET_IDSubstitua:
REALM_ID: um nome para o realmPROJECT_ID: seu ID do projetoSECRET_ID: o ID do secret que contém a chave de API
Conceda à conta de serviço de segurança de rede acesso à chave de API executando o comando
gcloud secrets add-iam-policy-binding:gcloud secrets add-iam-policy-binding SECRET_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com \ --role roles/secretmanager.secretAccessorSubstitua:
SECRET_ID: o ID do secret que contém a chave de APIPROJECT_NUMBER: o número do seu projeto
API
Use o método projects.locations.sacRealms.create.
POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "SYMANTEC_CLOUD_SWG",
"symantecOptions": {
"secretPath": "SECRET_ID"
}
}
Substitua:
PROJECT_ID: seu ID do projetoREALM_ID: um nome para o realmSECRET_ID: o ID do secret que contém a chave de API