Dokumen ini menjelaskan cara membuat realm Secure Access Connect. Realm Secure Access Connect membuat koneksi antara projectGoogle Cloud dan layanan SSE.
Sebelum memulai
Sebelum memulai, lakukan hal berikut:
Siapkan salah satu layanan partner SSE berikut:
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk membuat realm, minta administrator untuk memberi Anda peran IAM Compute Network Admin (roles/compute.networkAdmin) di project.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Membuat realm Secure Access Connect
Buat realm Secure Access Connect dengan mengikuti petunjuk yang sesuai dengan penyedia SSE Anda.
Prisma Access Palo Alto Networks
Buat realm dengan melakukan hal berikut.
gcloud
Buat realm dengan menjalankan perintah
gcloud beta network-security secure-access-connect realms create:gcloud beta network-security secure-access-connect realms create REALM_ID \ --security-service=prisma-accessGanti
REALM_IDdengan nama untuk realm Anda.Identifikasi kunci penyambungan untuk realm dengan menjalankan perintah
gcloud beta network-security secure-access-connect realms describe:gcloud beta network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_IDGanti kode berikut:
REALM_ID: nama realm AndaPROJECT_ID: project ID Anda
Outputnya mirip dengan hal berikut ini:
createTime: '...' name: ... pairingKey: expireTime: '...' key: 12345678-0000-4321-1234-abcdefghijkl securityService: PALO_ALTO_PRISMA_ACCESS state: UNATTACHED updateTime: '...'Kolom
keyberisi kunci penyambungan.Gunakan kunci penyambungan untuk menyiapkan Managed Cloud WAN di Prisma Access.
API
Gunakan metode projects.locations.sacRealms.create.
POST https://networksecurity.googleapis.com/v1beta1/project/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "PALO_ALTO_PRISMA_ACCESS"
}
Ganti kode berikut:
PROJECT_ID: project ID AndaREALM_ID: nama realm Anda
Symantec Cloud SWG
Buat realm dengan melakukan hal berikut.
gcloud
Jika belum melakukannya, berikan kunci API Symantec ke Secure Access Connect dengan melakukan hal berikut:
Di Symantec Cloud SWG, buat kunci API dan tetapkan Akses ke Pengelolaan Lokasi.
Simpan kunci API di Secret Manager dengan melakukan hal berikut:
Buat secret dalam project yang sama dengan project tempat Anda ingin membuat realm.
Tambahkan versi secret yang berisi kunci API. Tidak boleh ada spasi kosong tambahan dalam konten rahasia. Gunakan format berikut:
USERNAME:PASSWORDGanti kode berikut:
USERNAME: nama pengguna dari kunci APIPASSWORD: sandi dari kunci API
Buat realm dengan menjalankan perintah
gcloud beta network-security secure-access-connect realms create:gcloud beta network-security secure-access-connect realms create REALM_ID \ --security-service=symantec-cloud-swg \ --project=PROJECT_ID \ --symantec-secret=SECRET_IDGanti kode berikut:
REALM_ID: nama untuk realm AndaPROJECT_ID: project ID AndaSECRET_ID: ID rahasia yang berisi kunci API
Beri akun layanan keamanan jaringan akses ke kunci API dengan menjalankan perintah
gcloud secrets add-iam-policy-binding:gcloud secrets add-iam-policy-binding SECRET_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com \ --role roles/secretmanager.secretAccessorGanti kode berikut:
SECRET_ID: ID rahasia yang berisi kunci APIPROJECT_NUMBER: nomor project Anda
API
Gunakan metode projects.locations.sacRealms.create.
POST https://networksecurity.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "SYMANTEC_CLOUD_SWG",
"symantecOptions": {
"secretPath": "SECRET_ID"
}
}
Ganti kode berikut:
PROJECT_ID: project ID AndaREALM_ID: nama untuk realm AndaSECRET_ID: ID rahasia yang berisi kunci API