이 문서에서는 보안 액세스 연결 렐름을 만드는 방법을 설명합니다. 보안 액세스 연결 렐름은Google Cloud 프로젝트와 SSE 서비스 간의 연결을 설정합니다.
시작하기 전에
시작하기 전에 다음을 수행합니다.
다음 SSE 파트너 서비스 중 하나를 설정합니다.
필요한 역할
영역을 만드는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Compute 네트워크 관리자 (roles/compute.networkAdmin) IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
Secure Access Connect 영역 만들기
SSE 프로바이더에 해당하는 안내에 따라 보안 액세스 커넥트 렐름을 만듭니다.
Palo Alto Networks Prisma Access
렐름을 만들려면 다음 단계를 따르세요.
콘솔
Google Cloud 콘솔에서 Secure Access Connect 페이지로 이동합니다.
렐름 만들기를 클릭합니다.
만들려는 영역의 이름을 입력합니다.
보안 서비스 필드에서 Palo Alto Networks Prisma Access를 선택합니다.
만들기를 클릭합니다.
gcloud
gcloud network-security secure-access-connect realms create명령어를 실행하여 영역을 만듭니다.gcloud network-security secure-access-connect realms create REALM_ID \ --security-service=prisma-accessREALM_ID을 영역 이름으로 바꿉니다.gcloud network-security secure-access-connect realms describe명령어를 실행하여 영역의 페어링 키를 식별합니다.gcloud network-security secure-access-connect realms describe REALM_ID \ --project=PROJECT_ID다음을 바꿉니다.
REALM_ID: 렐름 이름PROJECT_ID: 프로젝트 ID입니다.
출력은 다음과 비슷합니다.
createTime: '...' name: ... pairingKey: expireTime: '...' key: 12345678-0000-4321-1234-abcdefghijkl securityService: PALO_ALTO_PRISMA_ACCESS state: UNATTACHED updateTime: '...'key필드에는 페어링 키가 포함됩니다.페어링 키를 사용하여 Prisma Access에서 관리형 Cloud WAN을 설정합니다.
API
projects.locations.sacRealms.create 메서드를 사용합니다.
POST https://networksecurity.googleapis.com/v1/project/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "PALO_ALTO_PRISMA_ACCESS"
}
다음을 바꿉니다.
PROJECT_ID: 프로젝트 ID입니다.REALM_ID: 렐름 이름
Symantec Cloud SWG
렐름을 만들려면 다음 단계를 따르세요.
콘솔
Google Cloud 콘솔에서 Secure Access Connect 페이지로 이동합니다.
렐름 만들기를 클릭합니다.
만들려는 영역의 이름을 입력합니다.
보안 서비스 필드에서 Symantec Cloud SWG를 선택합니다.
Symantec의 보안 비밀 키가 이미 있는 경우 보안 비밀 필드에 Symantec 보안 비밀 키를 입력합니다. 보안 비밀 키가 없는 경우 다음 단계에 따라 보안 비밀 키를 가져올 수 있습니다.
- 보안 비밀 직접 입력을 클릭합니다.
다음과 같이 Secret Manager에 API 키를 저장합니다.
영역을 만들려는 프로젝트와 동일한 프로젝트에서 시크릿을 만듭니다.
보안 비밀 키가 포함된 보안 비밀 버전을 추가합니다. 보안 비밀번호의 콘텐츠에 불필요한 공백이 있으면 안 됩니다.
projects/<var>PROJECT_NUMBER</var>/secrets/<var>SECRET_NAME</var>형식을 사용합니다.
만들기를 클릭합니다.
gcloud
아직 수행하지 않은 경우 다음을 실행하여 Symantec API 키를 Secure Access Connect에 제공합니다.
Symantec Cloud SWG에서 API 키를 만들고 액세스를 위치 관리로 설정합니다.
다음과 같이 Secret Manager에 API 키를 저장합니다.
gcloud network-security secure-access-connect realms create명령어를 실행하여 영역을 만듭니다.gcloud network-security secure-access-connect realms create REALM_ID \ --security-service=symantec-cloud-swg \ --project=PROJECT_ID \ --symantec-secret=SECRET_ID다음을 바꿉니다.
REALM_ID: 렐름 이름PROJECT_ID: 프로젝트 IDSECRET_ID: API 키가 포함된 보안 비밀의 ID
gcloud secrets add-iam-policy-binding명령어를 실행하여 네트워크 보안 서비스 계정에 API 키 액세스 권한을 부여합니다.gcloud secrets add-iam-policy-binding SECRET_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-networksecurity.iam.gserviceaccount.com \ --role roles/secretmanager.secretAccessor다음을 바꿉니다.
SECRET_ID: API 키가 포함된 보안 비밀의 IDPROJECT_NUMBER: 프로젝트 번호
API
projects.locations.sacRealms.create 메서드를 사용합니다.
POST https://networksecurity.googleapis.com/v1/projects/PROJECT_ID/locations/global/sacRealms
{
"name": "REALM_ID",
"securityService": "SYMANTEC_CLOUD_SWG",
"symantecOptions": {
"secretPath": "SECRET_ID"
}
}
다음을 바꿉니다.
PROJECT_ID: 프로젝트 IDREALM_ID: 렐름 이름SECRET_ID: API 키가 포함된 보안 비밀의 ID