このドキュメントでは、Secure Access Connect レルムを作成する方法について説明します。Secure Access Connect レルムは、Google Cloud プロジェクトと SSE サービス間の接続を確立します。
始める前に
始める前に、次のことを行います。
次のいずれかの SSE パートナー サービスを設定します。
必要なロール
レルムの作成に必要な権限を取得するには、プロジェクトに対する Compute ネットワーク管理者 (roles/compute.networkAdmin)IAM ロールを付与するよう管理者に依頼します。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
Secure Access Connect レルムを作成する
SSE プロバイダに対応する手順に沿って、Secure Access Connect レルムを作成します。
Palo Alto Networks Prisma Access
次の手順でレルムを作成します。
gcloud
gcloud beta network-security secure-access-connect realms createコマンドを実行して、レルムを作成します。gcloud beta network-security secure-access-connect realms create REALM_ID \ --security-service=prisma-accessREALM_IDは、レルムの名前に置き換えます。gcloud beta network-security secure-access-connect realms describeコマンドを実行して、レルムのペア設定キーを特定します。gcloud beta network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_ID次のように置き換えます。
REALM_ID: レルムの名前PROJECT_ID: プロジェクト ID
出力は次のようになります。
createTime: '...' name: ... pairingKey: expireTime: '...' key: 12345678-0000-4321-1234-abcdefghijkl securityService: PALO_ALTO_PRISMA_ACCESS state: UNATTACHED updateTime: '...'keyフィールドにはペアリングキーが含まれます。ペアリングキーを使用して、Prisma Access で Managed Cloud WAN を設定します。
API
projects.locations.sacRealms.create メソッドを使用します。
POST https://networksecurity.googleapis.com/v1beta1/project/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "PALO_ALTO_PRISMA_ACCESS"
}
次のように置き換えます。
PROJECT_ID: プロジェクト IDREALM_ID: レルムの名前
Symantec Cloud SWG
次の手順でレルムを作成します。
gcloud
まだ行っていない場合は、次の手順で Symantec API キーを Secure Access Connect に提供します。
Symantec Cloud SWG で、API キーを作成し、[Access] を [Location Management] に設定します。
次の操作を行って、API キーを Secret Manager に保存します。
レルムを作成するプロジェクトと同じプロジェクトにシークレットを作成します。
API キーを含むシークレット バージョンを追加します。シークレットのコンテンツに余分な空白文字を含めることはできません。形式は次のようにします。
USERNAME:PASSWORD次のように置き換えます。
USERNAME: API キーのユーザー名PASSWORD: API キーのパスワード
gcloud beta network-security secure-access-connect realms createコマンドを実行して、レルムを作成します。gcloud beta network-security secure-access-connect realms create REALM_ID \ --security-service=symantec-cloud-swg \ --project=PROJECT_ID \ --symantec-secret=SECRET_ID次のように置き換えます。
REALM_ID: レルムの名前PROJECT_ID: 実際のプロジェクト IDSECRET_ID: API キーを含むシークレットの ID
gcloud secrets add-iam-policy-bindingコマンドを実行して、ネットワーク セキュリティ サービス アカウントに API キーへのアクセス権を付与します。gcloud secrets add-iam-policy-binding SECRET_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com \ --role roles/secretmanager.secretAccessor次のように置き換えます。
SECRET_ID: API キーを含むシークレットの IDPROJECT_NUMBER: プロジェクトの番号
API
projects.locations.sacRealms.create メソッドを使用します。
POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "SYMANTEC_CLOUD_SWG",
"symantecOptions": {
"secretPath": "SECRET_ID"
}
}
次のように置き換えます。
PROJECT_ID: 実際のプロジェクト IDREALM_ID: レルムの名前SECRET_ID: API キーを含むシークレットの ID