Creare un realm

gcloud

1. Crea un realm eseguendo il comando gcloud beta network-security secure-access-connect realms create:

     gcloud beta network-security secure-access-connect realms create REALM_ID \
         --security-service=prisma-access
   

   Sostituisci REALM_ID con un nome per il tuo realm.

2. Identifica la chiave di accoppiamento per il realm eseguendo il comando gcloud beta network-security secure-access-connect realms describe:

     gcloud beta network-security secure-access-connect realms describe REALM_ID \
         --project=PROJECT_ID
   

   Sostituisci quanto segue:

   • REALM_ID: il nome del tuo realm
   • PROJECT_ID: il tuo ID progetto

   L'output è simile al seguente:

   createTime: '...'
   name: ...
   pairingKey:
     expireTime: '...'
     key: 12345678-0000-4321-1234-abcdefghijkl
   securityService: PALO_ALTO_PRISMA_ACCESS
   state: UNATTACHED
   updateTime: '...'
   

   Il campo key contiene la chiave di accoppiamento.

3. Utilizza la chiave di accoppiamento per configurare una Managed Cloud WAN in Prisma Access.

API

Utilizza il metodo projects.locations.sacRealms.create.

  POST https://networksecurity.googleapis.com/v1beta1/project/PROJECT_ID/locations/global/sacRealms
  {
    "name": "REALM_ID",
    "securityService": "PALO_ALTO_PRISMA_ACCESS"
  }

Sostituisci quanto segue:

• PROJECT_ID: il tuo ID progetto
• REALM_ID: il nome del tuo realm

gcloud

1. Se non l'hai ancora fatto, fornisci la chiave API Symantec a Secure Access Connect procedendo nel seguente modo:

   1. In Symantec Cloud SWG, crea una chiave API e imposta Accesso su Gestione della posizione.

   2. Archivia la chiave API in Secret Manager nel seguente modo:

      1. Crea un secret nello stesso progetto in cui vuoi creare il realm.

      2. Aggiungi una versione del secret che contenga la chiave API. Non devono esserci spazi vuoti aggiuntivi nel contenuto del secret. Utilizza il formato seguente:

         USERNAME:PASSWORD
         

         Sostituisci quanto segue:

         • USERNAME: il nome utente della chiave API
         • PASSWORD: la password della chiave API

2. Crea un realm eseguendo il comando gcloud beta network-security secure-access-connect realms create:

     gcloud beta network-security secure-access-connect realms create REALM_ID \
         --security-service=symantec-cloud-swg \
         --project=PROJECT_ID \
         --symantec-secret=SECRET_ID
   

   Sostituisci quanto segue:

   • REALM_ID: un nome per il tuo realm
   • PROJECT_ID: il tuo ID progetto
   • SECRET_ID: l'ID del secret che contiene la chiave API

3. Concedi al account di servizio di sicurezza di rete l'accesso alla chiave API eseguendo il comando gcloud secrets add-iam-policy-binding:

     gcloud secrets add-iam-policy-binding SECRET_ID \
         --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com  \
         --role roles/secretmanager.secretAccessor
   

   Sostituisci quanto segue:

   • SECRET_ID: l'ID del secret che contiene la chiave API
   • PROJECT_NUMBER: il tuo numero di progetto

API

Utilizza il metodo projects.locations.sacRealms.create.

POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/sacRealms
{
  "name": "REALM_ID",
  "securityService": "SYMANTEC_CLOUD_SWG",
  "symantecOptions": {
    "secretPath": "SECRET_ID"
  }
}

Sostituisci quanto segue:

• PROJECT_ID: il tuo ID progetto
• REALM_ID: un nome per il tuo realm
• SECRET_ID: l'ID del secret che contiene la chiave API