レルムを作成する

このドキュメントでは、Secure Access Connect レルムを作成する方法について説明します。Secure Access Connect レルムは、Google Cloud プロジェクトと SSE サービス間の接続を確立します。

始める前に

始める前に、次のことを行います。

必要なロール

レルムの作成に必要な権限を取得するには、プロジェクトに対する Compute ネットワーク管理者 roles/compute.networkAdmin)IAM ロールを付与するよう管理者に依頼します。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

Secure Access Connect レルムを作成する

SSE プロバイダに対応する手順に沿って、Secure Access Connect レルムを作成します。

Palo Alto Networks Prisma Access

次の手順でレルムを作成します。

gcloud

  1. gcloud beta network-security secure-access-connect realms create コマンドを実行して、レルムを作成します。

      gcloud beta network-security secure-access-connect realms create REALM_ID \
          --security-service=prisma-access
    

    REALM_ID は、レルムの名前に置き換えます。

  2. gcloud beta network-security secure-access-connect realms describe コマンドを実行して、レルムのペア設定キーを特定します。

      gcloud beta network-security secure-access-connect realms describe REALM_ID \
          --project=PROJECT_ID
    

    次のように置き換えます。

    • REALM_ID: レルムの名前
    • PROJECT_ID: プロジェクト ID

    出力は次のようになります。

    createTime: '...'
    name: ...
    pairingKey:
      expireTime: '...'
      key: 12345678-0000-4321-1234-abcdefghijkl
    securityService: PALO_ALTO_PRISMA_ACCESS
    state: UNATTACHED
    updateTime: '...'
    

    key フィールドにはペアリングキーが含まれます。

  3. ペアリングキーを使用して、Prisma Access で Managed Cloud WAN を設定します。

API

projects.locations.sacRealms.create メソッドを使用します。

  POST https://networksecurity.googleapis.com/v1beta1/project/PROJECT_ID/locations/global/sacRealms
  {
    "name": "REALM_ID",
    "securityService": "PALO_ALTO_PRISMA_ACCESS"
  }

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID
  • REALM_ID: レルムの名前

Symantec Cloud SWG

次の手順でレルムを作成します。

gcloud

  1. まだ行っていない場合は、次の手順で Symantec API キーを Secure Access Connect に提供します。

    1. Symantec Cloud SWG で、API キーを作成し、[Access] を [Location Management] に設定します。

    2. 次の操作を行って、API キーを Secret Manager に保存します。

      1. レルムを作成するプロジェクトと同じプロジェクトにシークレットを作成します。

      2. API キーを含むシークレット バージョンを追加します。シークレットのコンテンツに余分な空白文字を含めることはできません。形式は次のようにします。

        USERNAME:PASSWORD
        

        次のように置き換えます。

        • USERNAME: API キーのユーザー名
        • PASSWORD: API キーのパスワード
  2. gcloud beta network-security secure-access-connect realms create コマンドを実行して、レルムを作成します。

      gcloud beta network-security secure-access-connect realms create REALM_ID \
          --security-service=symantec-cloud-swg \
          --project=PROJECT_ID \
          --symantec-secret=SECRET_ID
    

    次のように置き換えます。

  3. gcloud secrets add-iam-policy-binding コマンドを実行して、ネットワーク セキュリティ サービス アカウントに API キーへのアクセス権を付与します。

      gcloud secrets add-iam-policy-binding SECRET_ID \
          --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com  \
          --role roles/secretmanager.secretAccessor
    

    次のように置き換えます。

API

projects.locations.sacRealms.create メソッドを使用します。

POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/sacRealms
{
  "name": "REALM_ID",
  "securityService": "SYMANTEC_CLOUD_SWG",
  "symantecOptions": {
    "secretPath": "SECRET_ID"
  }
}

次のように置き換えます。

次のステップ