Este guia fornece instruções sobre como usar o Google Cloud Armor Enterprise. Para saber mais sobre o produto, confira Visão geral do Cloud Armor Enterprise.
Permissões do IAM obrigatórias
Para assinar o Cloud Armor Enterprise com uma conta de faturamento ou alternar a
configuração de renovação automática da assinatura, você deve ser um usuário com a
permissão billing.accounts.update do Identity and Access Management (IAM) na conta
de faturamento correspondente.
Para registrar um projeto na assinatura do Cloud Armor Enterprise, é necessário ter as permissões do IAM listadas abaixo no projeto que está sendo registrado no Cloud Armor Enterprise:
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.updatecompute.projects.setCloudArmorTier
Para saber mais sobre as permissões de faturamento, confira Visão geral do controle de acesso do Cloud Billing.
Assinar o Cloud Armor Enterprise Anual
Para ativar a assinatura do Cloud Armor Enterprise Annual e registrar o projeto atual, siga as etapas a seguir.
Console
Assinar o Cloud Armor Enterprise Anual
No console do Google Cloud , acesse a página Nível de serviço do Cloud Armor. Se sua assinatura já estiver ativa, a conta de faturamento estará automaticamente inscrita.
Clique em Assinar e se inscrever no painel Cloud Armor Enterprise Anual. Uma caixa de diálogo de confirmação será exibida.
Registrar projetos no Cloud Armor Enterprise
Para registrar projetos no Cloud Armor Enterprise Anual ou Paygo, siga as etapas a seguir. Se o seu projeto já estiver registrado, você poderá alterar o nível de registro registrando-o novamente no novo nível. Por exemplo, se o seu projeto estiver registrado no Cloud Armor Enterprise Anual, você pode registrá-lo no Cloud Armor Enterprise Paygo para alterar o nível de registro.
Console
Registrar um projeto no Cloud Armor Enterprise Anual
No console do Google Cloud , acesse a página Nível de serviço do Cloud Armor.
No painel Cloud Armor Enterprise Anual, clique em Registrar.
Registrar um projeto no Cloud Armor Enterprise Paygo
No console do Google Cloud , acesse a página Nível de serviço do Cloud Armor.
No painel Cloud Armor Enterprise Paygo, clique em Registrar.
gcloud
Registrar um projeto no Cloud Armor Enterprise Anual
Use o seguinte comando para registrar um projeto no Cloud Armor Enterprise Anual:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_ANNUAL
Registrar um projeto no Cloud Armor Enterprise Paygo
Use o seguinte comando para registrar um projeto no Cloud Armor Enterprise Paygo:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Remover um projeto do Cloud Armor Enterprise
Antes de remover o projeto do Cloud Armor Enterprise, recomendamos que você se familiarize com a seção Fazer downgrade do Cloud Armor Enterprise. Após o cancelamento do registro de um projeto do Cloud Armor Enterprise, a alteração pode demorar até doze horas para ser aplicada. Durante esse período, é possível continuar realizando o cancelamento do registro ou o registro de outros projetos.
Para cancelar o registro de um projeto do Cloud Armor Enterprise, siga as etapas a seguir.
Console
Cancelar o registro de um projeto do Cloud Armor Enterprise Anual
No console do Google Cloud , acesse a página Nível de serviço do Cloud Armor.
No painel Padrão, clique em Registrar.
Cancelar o registro de um projeto do Cloud Armor Enterprise Paygo
No console do Google Cloud , acesse a página Nível de serviço do Cloud Armor.
No painel Padrão, clique em Registrar.
gcloud
Cancelar o registro de um projeto do Cloud Armor Enterprise Anual
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Cancelar o registro de um projeto do Cloud Armor Enterprise Paygo
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Visualizar as informações de registro
Use as seções apresentadas a seguir para visualizar o nível atual do seu registro no Cloud Armor Enterprise ou para verificar quantos recursos estão abrangidos por ele.
Visualizar o nível atual do registro no Cloud Armor Enterprise
Use estas instruções para visualizar o nível atual do seu registro no Cloud Armor Enterprise.
Console
No console do Google Cloud , acesse a página Nível de serviço do Cloud Armor.
É possível visualizar os níveis de serviço disponíveis do Cloud Armor Enterprise, como Cloud Armor Enterprise Anual e Cloud Armor Enterprise Paygo. Seu nível de registro atual do Cloud Armor Enterprise está destacado e aparece com o status “Registrado” no campo Projeto.
gcloud
Para visualizar o seu nível de registro atual do Cloud Armor Enterprise, use o
seguinte comando gcloud:
gcloud compute project-info describe
Visualizar o número de serviços de back-end e buckets de back-end incluídos em um registro
Cada projeto que com registro no Cloud Armor Enterprise apresenta, na página Cloud Armor Enterprise, o número total de serviços de back-end e buckets de back-end abrangidos. O número exibido corresponde ao total de serviços de back-end e buckets de back-end abrangidos pelo registro.
Se o projeto estiver registrado no Cloud Armor Enterprise Standard, que corresponde ao nível padrão, esse número não será mostrado.
Cancelar a inscrição de uma conta de faturamento no Cloud Armor Enterprise Anual
Uma assinatura do Cloud Armor Enterprise Anual é um compromisso com duração de um ano, que é renovado automaticamente. Para evitar a renovação ao final do período de um ano, é necessário desativar a renovação automática. Depois que a renovação automática for desativada, o período vigente da assinatura anual permanece até o término. No término do período de assinatura, a assinatura do Cloud Armor Enterprise não é renovada. Se o seu projeto tiver políticas de segurança hierárquicas eficazes, ele terá downgrade para o Cloud Armor Enterprise Paygo. Caso contrário, todos os projetos da conta de faturamento registrados no Cloud Armor Enterprise Anual retornam ao Cloud Armor Enterprise Standard.
Para cancelar a renovação automática do Cloud Armor Enterprise Anual, siga as etapas a seguir.
Console
Quando estiver conectado à conta de faturamento associada à assinatura, no console doGoogle Cloud , acesse a página Nível de serviço do Cloud Armor.
Clique em Renovação automática (desativada). Sua assinatura do Cloud Armor Enterprise não será renovada quando o período atual expirar. A partir disso, os projetos registrados no Cloud Armor Enterprise deixam de ter o registro. No entanto, eles ainda terão proteção contra DDoS, como no Cloud Armor Enterprise Standard.
Abrir um caso de suporte de resposta a ataques DDoS
Para acionar o suporte de resposta a ataques DDoS, abra um caso de suporte no console doGoogle Cloud . Caso o cliente atenda aos requisitos de qualificação, o caso será encaminhado para a equipe de resposta responsável por ataques DDoS do Cloud Armor, que realizará o suporte, triagem e possíveis ações de mitigação.
Para abrir um caso de suporte de resposta a ataques DDoS, confira Receber suporte para um caso de DDoS.
Ativar proteção contra cobranças por ataques DDoS
Para registrar uma reivindicação de proteção contra cobranças por ataques DDoS, o projeto deve estar registrado no Cloud Armor Enterprise Anual, e você precisa reunir as seguintes informações:
- A conta de faturamento associada ao projeto impactado.
- O número do projeto que contém o recurso impactado.
- O endereço IP exposto à internet do recurso impactado.
- O horário em que o ataque começou.
- O horário em que o ataque terminou.
- Os volumes de tráfego normais do serviço impactado.
- Os volumes de tráfego no momento do ataque do serviço impactado.
É possível iniciar um chat ou entrar em contato com o suporte responsável pelo faturamento usando o console Google Cloud . Para mais informações sobre como entrar em contato com o suporte do Cloud Billing, confira Como entrar em contato com o suporte do Cloud Billing.
Requisitos para referência entre projetos
Se você usar a referência de serviço entre projetos e quiser aproveitar os preços do Cloud Armor Enterprise, tanto o projeto de serviço de front-end quanto o de back-end devem estar registrados no Cloud Armor Enterprise Anual.
Ataques qualificados
Para balanceadores de carga de rede de passagem externa, encaminhamento de protocolo e endereços IP públicos (VMs), um ataque é considerado um Ataque Qualificado (conforme descrito nos termos e limitações do Cloud Armor) apenas se a proteção avançada contra ataques DDoS já estiver ativada para a região com o endpoint atacado no início do ataque.
Usar o Google Threat Intelligence
Para usar o
Google Threat Intelligence, basta
configurar uma política de segurança usando a expressão de correspondência
evaluateThreatIntelligence e fornecendo um nome de feed baseado na categoria que deseja
permitir ou bloquear. Se o Google Threat Intelligence bloquear um
endereço IP incorretamente, você pode adicioná-lo à lista de exclusão para permitir o tráfego.
Resolver problemas do Cloud Armor Enterprise
Esta seção fornece informações para ajudar você a resolver quaisquer problemas com o Cloud Armor Enterprise.
Você se tornou assinante do Cloud Armor Enterprise Anual, mas o faturamento continua no modelo de pagamento por uso
Caso você tenha assinado o Cloud Armor Enterprise e ainda esteja recebendo o faturamento pelo modelo de pagamento por uso, verifique se você registrou seus projetos no Cloud Armor Enterprise.
O botão Subscribe não está disponível
Se você não conseguir assinar o Cloud Armor Enterprise Anual porque o
botão Subscribe não está disponível, faça o seguinte:
- Verifique se o usuário que está tentando realizar a assinatura tem
permissões do IAM suficientes:
- Para assinar no nível da conta de faturamento,
o usuário deve ter a permissão
billing.accounts.update. - Para incluir ou remover projetos
individuais do nível, o usuário deve ter as permissões
resourcemanager.projects.createBillingAssignmenteresourcemanager.projects.update.
- Para assinar no nível da conta de faturamento,
o usuário deve ter a permissão
Você cancelou a assinatura do Google Cloud Armor Enterprise Anual, mas o sistema realizou o registro automático no Paygo
Se você cancelar a assinatura da sua conta de faturamento no Google Cloud Armor Enterprise Anual enquanto seu projeto tiver políticas de segurança hierárquicas ativas, ele terá downgrade para o Cloud Armor Enterprise Paygo. Isso ocorre porque as políticas de segurança hierárquicas exigem um registro ativo no Google Cloud Armor Enterprise. Para cancelar o registro no Paygo, é necessário excluir as políticas de segurança hierárquicas.
O sistema realizou o registro automático do seu projeto no Cloud Armor Enterprise
Os projetos abrangidos por uma política de segurança hierárquica são registrados automaticamente no nível mais elevado do Cloud Armor Enterprise para o qual se qualificam. Para mais informações, confira Comportamento de registro e faturamento do Google Cloud Armor Enterprise.
Discrepâncias no faturamento
Se essas dicas de solução de problemas não resolverem os problemas que você está enfrentando, entre em contato com a equipe de suporte responsável pelo faturamento doGoogle Cloud .