Bereich erstellen

In diesem Dokument wird beschrieben, wie Sie einen Secure Access Connect-Realm erstellen. Ein Secure Access Connect-Bereich stellt eine Verbindung zwischen IhremGoogle Cloud -Projekt und einem SSE-Dienst her.

Hinweis

Führen Sie zuerst folgende Schritte aus:

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Realms benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Secure Access Connect-Realm erstellen

Erstellen Sie einen Secure Access Connect-Bereich. Folgen Sie dazu der Anleitung, die Ihrem SSE-Anbieter entspricht.

Palo Alto Networks Prisma Access

So erstellen Sie einen Bereich:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secure Access Connect auf.

    Zu Secure Access Connect-Realms

  2. Klicken Sie auf Bereich erstellen.

  3. Geben Sie einen Namen für den Bereich ein, den Sie erstellen möchten.

  4. Wählen Sie im Feld Sicherheitsdienst die Option Palo Alto Networks Prisma Access aus.

  5. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie einen Bereich mit dem Befehl gcloud network-security secure-access-connect realms create:

      gcloud network-security secure-access-connect realms create REALM_ID \
      --security-service=prisma-access

    Ersetzen Sie REALM_ID durch einen Namen für den Bereich.

  2. Ermitteln Sie den Kopplungsschlüssel für den Bereich, indem Sie den Befehl gcloud network-security secure-access-connect realms describe ausführen:

      gcloud network-security secure-access-connect realms describe REALM_ID \
      --project=PROJECT_ID

    Ersetzen Sie Folgendes:

    • REALM_ID: der Name Ihres Bereichs
    • PROJECT_ID: Ihre Projekt-ID.

    Die Ausgabe sieht etwa so aus:

    createTime: '...'
name: ...
pairingKey:
  expireTime: '...'
  key: 12345678-0000-4321-1234-abcdefghijkl
securityService: PALO_ALTO_PRISMA_ACCESS
state: UNATTACHED
updateTime: '...'

    Das Feld key enthält den Kopplungsschlüssel.

  3. Verwenden Sie den Pairing-Schlüssel, um ein Managed Cloud WAN in Prisma Access einzurichten.

API

Verwenden Sie die Methode projects.locations.sacRealms.create.

  POST https://networksecurity.googleapis.com/v1/project/PROJECT_ID/locations/global/sacRealms
  {
    "name": "REALM_ID",
    "securityService": "PALO_ALTO_PRISMA_ACCESS"
  }

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • REALM_ID: der Name Ihres Bereichs

Symantec Cloud SWG

So erstellen Sie einen Bereich:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Secure Access Connect auf.

    Zu Secure Access Connect-Realms

  2. Klicken Sie auf Bereich erstellen.

  3. Geben Sie einen Namen für den Bereich ein, den Sie erstellen möchten.

  4. Wählen Sie im Feld Sicherheitsdienst die Option Symantec Cloud SWG aus.

  5. Wenn Sie den geheimen Schlüssel von Symantec bereits haben, geben Sie ihn in das Feld Secret ein. Wenn Sie den geheimen Schlüssel nicht haben, können Sie ihn so abrufen:

    • Klicken Sie auf Secret manuell eingeben.

    • Speichern Sie den API-Schlüssel in Secret Manager:

      1. Erstellen Sie ein Secret in demselben Projekt, in dem Sie den Bereich erstellen möchten.

      2. Fügen Sie eine Secret-Version hinzu, die den geheimen Schlüssel enthält. Der Inhalt des Secrets darf keine zusätzlichen Leerzeichen enthalten. Verwenden Sie das folgende Format: projects/<var>PROJECT_NUMBER</var>/secrets/<var>SECRET_NAME</var>.

  6. Klicken Sie auf Erstellen.

gcloud

  1. Wenn Sie dies noch nicht getan haben, stellen Sie Secure Access Connect den Symantec-API-Schlüssel zur Verfügung. Gehen Sie dazu so vor:

    1. Erstellen Sie in Symantec Cloud SWG einen API-Schlüssel und legen Sie Access auf Location Management fest.

    2. Speichern Sie den API-Schlüssel in Secret Manager:

      1. Erstellen Sie ein Secret in demselben Projekt, in dem Sie den Bereich erstellen möchten.

      2. Fügen Sie eine Secret-Version hinzu, die den API-Schlüssel enthält. Der Inhalt des Secrets darf keine zusätzlichen Leerzeichen enthalten. Verwenden Sie das folgende Format:

        USERNAME:PASSWORD

        Ersetzen Sie Folgendes:

        • USERNAME: Der Nutzername aus dem API-Schlüssel.
        • PASSWORD: Das Passwort aus dem API-Schlüssel

  2. Erstellen Sie einen Bereich mit dem gcloud network-security secure-access-connect realms create-Befehl:

      gcloud network-security secure-access-connect realms create REALM_ID \
      --security-service=symantec-cloud-swg \
      --project=PROJECT_ID \
      --symantec-secret=SECRET_ID

    Ersetzen Sie Folgendes:

    • REALM_ID: ein Name für Ihren Bereich
    • PROJECT_ID: Ihre Projekt-ID
    • SECRET_ID: Die ID des Secrets, das den API-Schlüssel enthält.

  3. Gewähren Sie dem Dienstkonto für die Netzwerksicherheit Zugriff auf den API-Schlüssel, indem Sie den Befehl gcloud secrets add-iam-policy-binding ausführen:

      gcloud secrets add-iam-policy-binding SECRET_ID \
      --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com  \
      --role roles/secretmanager.secretAccessor

    Ersetzen Sie Folgendes:

    • SECRET_ID: Die ID des Secrets, das den API-Schlüssel enthält.
    • PROJECT_NUMBER: Ihre Projektnummer

API

Verwenden Sie die Methode projects.locations.sacRealms.create.

POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/sacRealms
{
  "name": "REALM_ID",
  "securityService": "SYMANTEC_CLOUD_SWG",
  "symantecOptions": {
    "secretPath": "SECRET_ID"
  }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID
  • REALM_ID: ein Name für Ihren Bereich
  • SECRET_ID: Die ID des Secrets, das den API-Schlüssel enthält.

Nächste Schritte