렐름 만들기

이 문서에서는 Secure Access Connect 영역을 만드는 방법을 설명합니다. 보안 액세스 연결 영역은Google Cloud 프로젝트와 SSE 서비스 간의 연결을 설정합니다.

시작하기 전에

시작하기 전에 다음을 수행합니다.

필요한 역할

영역을 만드는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Compute 네트워크 관리자 (roles/compute.networkAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

Secure Access Connect 영역 만들기

SSE 제공업체에 해당하는 안내에 따라 보안 액세스 연결 영역을 만듭니다.

Palo Alto Networks Prisma Access

다음을 수행하여 영역을 만듭니다.

gcloud

  1. gcloud beta network-security secure-access-connect realms create 명령어를 실행하여 영역을 만듭니다.

      gcloud beta network-security secure-access-connect realms create REALM_ID \
      --security-service=prisma-access

    REALM_ID을 영역 이름으로 바꿉니다.

  2. gcloud beta network-security secure-access-connect realms describe 명령어를 실행하여 영역의 페어링 키를 식별합니다.

      gcloud beta network-security secure-access-connect realms describe REALM_ID \
      --project=PROJECT_ID

    다음을 바꿉니다.

    • REALM_ID: 영역 이름
    • PROJECT_ID: 프로젝트 ID입니다.

    출력은 다음과 비슷합니다.

    createTime: '...'
name: ...
pairingKey:
  expireTime: '...'
  key: 12345678-0000-4321-1234-abcdefghijkl
securityService: PALO_ALTO_PRISMA_ACCESS
state: UNATTACHED
updateTime: '...'

    key 필드에는 페어링 키가 포함됩니다.

  3. 페어링 키를 사용하여 Prisma Access에서 관리형 Cloud WAN을 설정합니다.

API

projects.locations.sacRealms.create 메서드를 사용합니다.

  POST https://networksecurity.googleapis.com/v1beta1/project/PROJECT_ID/locations/global/sacRealms
  {
    "name": "REALM_ID",
    "securityService": "PALO_ALTO_PRISMA_ACCESS"
  }

다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID입니다.
  • REALM_ID: 영역 이름

Symantec Cloud SWG

다음을 수행하여 영역을 만듭니다.

gcloud

  1. 아직 수행하지 않은 경우 다음을 실행하여 Symantec API 키를 Secure Access Connect에 제공합니다.

    1. Symantec Cloud SWG에서 API 키를 만들고 액세스위치 관리로 설정합니다.

    2. 다음과 같이 Secret Manager에 API 키를 저장합니다.

      1. 영역을 만들려는 프로젝트와 동일한 프로젝트에서 시크릿을 만듭니다.

      2. API 키가 포함된 보안 비밀 버전을 추가합니다. 보안 비밀번호의 콘텐츠에 불필요한 빈 공간이 있으면 안 됩니다. 다음 형식을 사용합니다.

        USERNAME:PASSWORD

        다음을 바꿉니다.

        • USERNAME: API 키의 사용자 이름
        • PASSWORD: API 키의 비밀번호

  2. gcloud beta network-security secure-access-connect realms create 명령어를 실행하여 영역을 만듭니다.

      gcloud beta network-security secure-access-connect realms create REALM_ID \
      --security-service=symantec-cloud-swg \
      --project=PROJECT_ID \
      --symantec-secret=SECRET_ID

    다음을 바꿉니다.

    • REALM_ID: 영역 이름
    • PROJECT_ID: 프로젝트 ID
    • SECRET_ID: API 키가 포함된 보안 비밀의 ID

  3. gcloud secrets add-iam-policy-binding 명령어를 실행하여 네트워크 보안 서비스 계정에 API 키 액세스 권한을 부여합니다.

      gcloud secrets add-iam-policy-binding SECRET_ID \
      --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com  \
      --role roles/secretmanager.secretAccessor

    다음을 바꿉니다.

API

projects.locations.sacRealms.create 메서드를 사용합니다.

POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/sacRealms
{
  "name": "REALM_ID",
  "securityService": "SYMANTEC_CLOUD_SWG",
  "symantecOptions": {
    "secretPath": "SECRET_ID"
  }
}

다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID
  • REALM_ID: 영역 이름
  • SECRET_ID: API 키가 포함된 보안 비밀의 ID

다음 단계