このドキュメントでは、Secure Access Connect レルムを作成する方法について説明します。Secure Access Connect レルムは、Google Cloud プロジェクトと SSE サービス間の接続を確立します。
始める前に
始める前に、次のことを行います。
次のいずれかの SSE パートナー サービスを設定します。
必要なロール
レルムの作成に必要な権限を取得するには、プロジェクトに対する Compute ネットワーク管理者 (roles/compute.networkAdmin)IAM ロールを付与するよう管理者に依頼します。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
Secure Access Connect レルムを作成する
SSE プロバイダに対応する手順に沿って、Secure Access Connect レルムを作成します。
Palo Alto Networks Prisma Access
レルムを作成する手順は次のとおりです。
コンソール
Google Cloud コンソールで、[Secure Access Connect] ページに移動します。
[Create Realm] をクリックします。
作成するレルムの名前を入力します。
[セキュリティ サービス] フィールドで、[Palo Alto Networks Prisma Access] を選択します。
[作成] をクリックします。
gcloud
gcloud network-security secure-access-connect realms createコマンドを実行して、レルムを作成します。gcloud network-security secure-access-connect realms create REALM_ID \ --security-service=prisma-accessREALM_IDは、レルムの名前に置き換えます。gcloud network-security secure-access-connect realms describeコマンドを実行して、レルムのペア設定キーを特定します。gcloud network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_ID次のように置き換えます。
REALM_ID: レルムの名前PROJECT_ID: プロジェクト ID
出力は次のようになります。
createTime: '...' name: ... pairingKey: expireTime: '...' key: 12345678-0000-4321-1234-abcdefghijkl securityService: PALO_ALTO_PRISMA_ACCESS state: UNATTACHED updateTime: '...'keyフィールドにはペアリングキーが含まれます。ペア設定キーを使用して、Prisma Access で Managed Cloud WAN を設定します。
API
projects.locations.sacRealms.create メソッドを使用します。
POST https://networksecurity.googleapis.com/v1/project/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "PALO_ALTO_PRISMA_ACCESS"
}
次のように置き換えます。
PROJECT_ID: プロジェクト IDREALM_ID: レルムの名前
Symantec Cloud SWG
レルムを作成する手順は次のとおりです。
コンソール
Google Cloud コンソールで、[Secure Access Connect] ページに移動します。
[Create Realm] をクリックします。
作成するレルムの名前を入力します。
[セキュリティ サービス] フィールドで、[Symantec Cloud SWG] を選択します。
Symantec の秘密鍵がすでにある場合は、[秘密鍵] フィールドに Symantec の秘密鍵を入力します。秘密鍵がない場合は、次の手順で取得できます。
- [シークレットを手動で入力] をクリックします。
次の操作を行って、API キーを Secret Manager に保存します。
レルムを作成するプロジェクトと同じプロジェクトにシークレットを作成します。
シークレット キーを含むシークレット バージョンを追加します。シークレットのコンテンツに余分な空白文字を含めることはできません。
projects/<var>PROJECT_NUMBER</var>/secrets/<var>SECRET_NAME</var>形式を使用します。
[作成] をクリックします。
gcloud
まだ行っていない場合は、次の手順で Symantec API キーを Secure Access Connect に提供します。
Symantec Cloud SWG で、API キーを作成し、[Access] を [Location Management] に設定します。
次の操作を行って、API キーを Secret Manager に保存します。
レルムを作成するプロジェクトと同じプロジェクトにシークレットを作成します。
API キーを含むシークレット バージョンを追加します。シークレットのコンテンツに余分な空白文字を含めることはできません。形式は次のようにします。
USERNAME:PASSWORD次のように置き換えます。
USERNAME: API キーのユーザー名PASSWORD: API キーのパスワード
gcloud network-security secure-access-connect realms createコマンドを実行して、レルムを作成します。gcloud network-security secure-access-connect realms create REALM_ID \ --security-service=symantec-cloud-swg \ --project=PROJECT_ID \ --symantec-secret=SECRET_ID次のように置き換えます。
REALM_ID: レルムの名前PROJECT_ID: 実際のプロジェクト IDSECRET_ID: API キーを含むシークレットの ID
gcloud secrets add-iam-policy-bindingコマンドを実行して、ネットワーク セキュリティ サービス アカウントに API キーへのアクセス権を付与します。gcloud secrets add-iam-policy-binding SECRET_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com \ --role roles/secretmanager.secretAccessor次のように置き換えます。
SECRET_ID: API キーを含むシークレットの IDPROJECT_NUMBER: プロジェクトの番号
API
projects.locations.sacRealms.create メソッドを使用します。
POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "SYMANTEC_CLOUD_SWG",
"symantecOptions": {
"secretPath": "SECRET_ID"
}
}
次のように置き換えます。
PROJECT_ID: 実際のプロジェクト IDREALM_ID: レルムの名前SECRET_ID: API キーを含むシークレットの ID