建立領域

本文說明如何建立 Secure Access Connect 領域。Secure Access Connect 運作範圍會在Google Cloud 專案與 SSE 服務之間建立連線。

事前準備

開始之前,請先執行下列操作:

必要的角色

如要取得建立領域所需的權限,請要求管理員授予您專案的「Compute 網路管理員」 (roles/compute.networkAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

建立 Secure Access Connect 領域

按照 SSE 供應商對應的操作說明,建立 Secure Access Connect 運作範圍。

Palo Alto Networks Prisma Access

請按照下列步驟建立領域。

gcloud

  1. 執行 gcloud beta network-security secure-access-connect realms create 指令來建立領域:

      gcloud beta network-security secure-access-connect realms create REALM_ID \
          --security-service=prisma-access
    

    REALM_ID 替換為領域的名稱。

  2. 執行 gcloud beta network-security secure-access-connect realms describe 指令,找出領域的配對金鑰:

      gcloud beta network-security secure-access-connect realms describe REALM_ID \
          --project=PROJECT_ID
    

    更改下列內容:

    • REALM_ID:領域名稱
    • PROJECT_ID:專案 ID

    輸出結果會與下列內容相似:

    createTime: '...'
    name: ...
    pairingKey:
      expireTime: '...'
      key: 12345678-0000-4321-1234-abcdefghijkl
    securityService: PALO_ALTO_PRISMA_ACCESS
    state: UNATTACHED
    updateTime: '...'
    

    key 欄位包含配對金鑰。

  3. 使用配對金鑰在 Prisma Access 中設定 Managed Cloud WAN。

API

請使用 projects.locations.sacRealms.create 方法

  POST https://networksecurity.googleapis.com/v1beta1/project/PROJECT_ID/locations/global/sacRealms
  {
    "name": "REALM_ID",
    "securityService": "PALO_ALTO_PRISMA_ACCESS"
  }

更改下列內容:

  • PROJECT_ID:專案 ID
  • REALM_ID:領域名稱

Symantec Cloud SWG

請按照下列步驟建立領域。

gcloud

  1. 如果尚未提供 Symantec API 金鑰給 Secure Access Connect,請按照下列步驟操作:

    1. 在 Symantec Cloud SWG 中建立 API 金鑰,並將「存取權」設為「位置管理」

    2. 請按照下列步驟,將 API 金鑰儲存在 Secret Manager 中:

      1. 在要建立領域的專案中建立密鑰

      2. 新增密鑰版本,內含 API 金鑰。密鑰內容不得含有多餘的空白字元。請使用下列格式:

        USERNAME:PASSWORD
        

        更改下列內容:

        • USERNAME:API 金鑰中的使用者名稱
        • PASSWORD:API 金鑰的密碼
  2. 執行 gcloud beta network-security secure-access-connect realms create 指令來建立領域:

      gcloud beta network-security secure-access-connect realms create REALM_ID \
          --security-service=symantec-cloud-swg \
          --project=PROJECT_ID \
          --symantec-secret=SECRET_ID
    

    更改下列內容:

    • REALM_ID:領域名稱
    • PROJECT_ID您的專案 ID
    • SECRET_ID:包含 API 金鑰的密鑰 ID
  3. 執行 gcloud secrets add-iam-policy-binding 指令,將 API 金鑰的存取權授予網路安全服務帳戶:

      gcloud secrets add-iam-policy-binding SECRET_ID \
          --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com  \
          --role roles/secretmanager.secretAccessor
    

    更改下列內容:

API

請使用 projects.locations.sacRealms.create 方法

POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/sacRealms
{
  "name": "REALM_ID",
  "securityService": "SYMANTEC_CLOUD_SWG",
  "symantecOptions": {
    "secretPath": "SECRET_ID"
  }
}

更改下列內容:

  • PROJECT_ID您的專案 ID
  • REALM_ID:領域名稱
  • SECRET_ID:包含 API 金鑰的密鑰 ID

後續步驟