Neste guia, você encontra instruções para usar o Google Cloud Armor Enterprise. Para saber mais sobre o produto, consulte a Visão geral do Cloud Armor Enterprise.
Permissões do IAM obrigatórias
Para inscrever uma conta de faturamento no Cloud Armor Enterprise ou para alternar a
configuração de renovação automática da assinatura, você precisa ser um usuário com a
permissão billing.accounts.update do Identity and Access Management (IAM) para a conta de
faturamento que está sendo inscrita.
Para inscrever um projeto na assinatura do Cloud Armor Enterprise, é preciso ter as seguintes permissões do IAM para o projeto selecionado no momento:
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.updatecompute.projects.setCloudArmorTier
Para saber mais sobre permissões de faturamento, consulte Visão geral do controle de acesso do Faturamento do Cloud.
Assinar o Cloud Armor Enterprise e inscrever projetos
Para assinar o Cloud Armor Enterprise e inscrever o projeto atual, siga estas etapas. Os caminhos de inscrição do Cloud Armor Enterprise Anual e do Cloud Armor Enterprise Paygo não são os mesmos, e alguns caminhos são exclusivos do console ou da Google Cloud CLI.
Console
Assinar o Cloud Armor Enterprise Anual
No console do Google Cloud, acesse a página Nível de serviço do Cloud Armor. Se a assinatura estiver ativa, a conta de faturamento já estará inscrita.
Clique em Assinar e inscrever no painel Cloud Armor Enterprise Anual. Uma caixa de diálogo de confirmação vai aparecer.
Inscrever-se no Cloud Armor Enterprise Paygo
No console do Google Cloud, acesse a página Nível de serviço do Cloud Armor.
Clique em Inscrever no painel Cloud Armor Enterprise Paygo.
gcloud
Assinar o Cloud Armor Enterprise Anual
Inscrever-se no Cloud Armor Enterprise Paygo
Para inscrever o projeto atual no Cloud Armor Enterprise Paygo, use o seguinte comando gcloud:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Recomendamos que você inscreva seus projetos no Cloud Armor Enterprise o mais rápido possível, porque a ativação pode levar até 24 horas. Durante esse período, você poderá continuar a inscrever projetos.
Para inscrever outros projetos, siga estas etapas.
Console
Inscreva outros projetos no Cloud Armor Enterprise anual
No console do Google Cloud, acesse a página Nível de serviço do Cloud Armor.
No painel Cloud Armor Enterprise Annual, clique em Inscrever-se.
Inscrever outros projetos no Cloud Armor Enterprise Paygo
No console do Google Cloud, acesse a página Nível de serviço do Cloud Armor.
No painel Cloud Armor Enterprise Paygo, clique em Inscrever.
gcloud
Inscreva outros projetos no Cloud Armor Enterprise anual
Inscrever outros projetos no Cloud Armor Enterprise Paygo
Use o comando abaixo para inscrever um projeto no Paygo do Cloud Armor Enterprise:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Remover um projeto do Cloud Armor Enterprise
Antes de remover seu projeto do Cloud Armor Enterprise, recomendamos que você se familiarize com o Downgrade do Cloud Armor Enterprise. Depois de cancelar a inscrição de um projeto no Cloud Armor Enterprise, poderá levar até 12 horas para que a alteração entre em vigor. É possível continuar cancelando a inscrição ou inscrevendo outros projetos durante esse período.
Para cancelar a inscrição de um projeto no Cloud Armor Enterprise, siga estas etapas.
Console
Cancelar o registro de um projeto no Cloud Armor Enterprise Anual
No console do Google Cloud, acesse a página Nível de serviço do Cloud Armor.
No painel Padrão, clique em Inscrever-se.
Cancelar a inscrição de um projeto no Cloud Armor Enterprise Paygo
No console do Google Cloud, acesse a página Nível de serviço do Cloud Armor.
No painel Padrão, clique em Inscrever-se.
gcloud
Cancelar o registro de um projeto no Cloud Armor Enterprise Anual
Não é possível cancelar a inscrição de um projeto do Cloud Armor Enterprise Annual usando a Google Cloud CLI. Use o console do Google Cloud.
Cancelar a inscrição de um projeto no Cloud Armor Enterprise Paygo
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Conferir ou mudar o nível de inscrição
Use as seções a seguir para conferir seu nível de inscrição atual do Cloud Armor Enterprise, mudar a inscrição do Cloud Armor Enterprise anual para o Paygo ou vice-versa.
Acessar o nível de inscrição atual do Cloud Armor Enterprise
Use estas instruções para conferir seu nível de inscrição atual do Cloud Armor Enterprise.
Console
No console do Google Cloud, acesse a página Nível de serviço do Cloud Armor.
Os níveis de serviço do Cloud Armor Enterprise disponíveis aparecem, incluindo o Cloud Armor Enterprise Paygo e o Cloud Armor Enterprise Paygo. O nível de inscrição atual do Cloud Armor Enterprise é destacado e tem o status "Inscrito" no campo Project.
gcloud
Para conferir seu nível de inscrição atual do Cloud Armor Enterprise, use o
seguinte comando gcloud:
gcloud compute project-info describe
Conferir o número de serviços e buckets de back-end cobertos por uma inscrição
Cada projeto inscrito no Cloud Armor Enterprise mostra o número de serviços e buckets de back-end cobertos na página Cloud Armor Enterprise. O número exibido é o total de serviços e buckets de back-end cobertos pela inscrição.
Se o projeto estiver inscrito no Cloud Armor Enterprise Standard, que é o nível padrão, essa contagem não será exibida.
Mudar a inscrição do Cloud Armor Enterprise Anual para o Cloud Armor Enterprise Paygo
Siga estas etapas para mudar sua inscrição do Cloud Armor Enterprise Annual para o Cloud Armor Enterprise Paygo:
- Cancele o registro do seu projeto no Cloud Armor Enterprise Anual.
- Inscrever-se no Cloud Armor Enterprise Paygo.
Mudar a inscrição do Cloud Armor Enterprise Paygo para o Cloud Armor Enterprise Anual
Siga estas etapas para mudar a inscrição do Cloud Armor Enterprise Paygo para o Cloud Armor Enterprise Anual:
- Cancele a inscrição do seu projeto no Cloud Armor Enterprise Paygo.
- Inscrever-se no Cloud Armor Enterprise Anual.
Cancelar a inscrição de uma conta de faturamento no Cloud Armor Enterprise Anual
Uma assinatura do Cloud Armor Enterprise Anual é um compromisso de um ano que é renovado automaticamente. Para evitar a renovação ao final do período de um ano, você precisa desativar a renovação automática. Depois que a renovação automática for desativada, quando você chegar ao fim do período atual de assinatura de um ano, sua assinatura do Cloud Armor Enterprise anual não será renovada, e todos os projetos na conta de faturamento que estão inscritos no Cloud Armor Enterprise anual serão revertidos para o Cloud Armor Enterprise Standard.
Para cancelar a renovação automática anual do Cloud Armor Enterprise, siga estas etapas.
Console
Depois de fazer login na conta de faturamento inscrita, acesse a página Nível de serviço do Cloud Armor no console do Google Cloud.
Clique em Renovação automática (desativada). Sua assinatura do Cloud Armor Enterprise não é renovada quando a assinatura atual expira. Quando isso ocorrer, os projetos inscritos no Cloud Armor Enterprise não serão mais inscritos. Eles ainda recebem a proteção DDoS fornecida no Cloud Armor Enterprise Standard.
É possível assinar novamente uma conta de faturamento no Cloud Armor Enterprise Anual a qualquer momento. Se você fizer isso, também precisará reinscrever os projetos em que se beneficiará dos modelos de preços do Cloud Armor Enterprise e de outros recursos.
Abrir um caso de suporte de resposta DDoS
Para interagir com o suporte de resposta DDoS, abra um caso de suporte no Console do Google Cloud. Para clientes que atendem aos requisitos de qualificação, seu caso é encaminhado para a equipe de resposta a DDoS do Google Cloud Armor para suporte, triagem e possível mitigação.
Para abrir um caso de suporte a respostas DDoS, consulte Receber suporte para um caso de DDoS.
Ativar a proteção de faturamento para DDoS
Para registrar uma reivindicação sobre a proteção contra DDoS, seu projeto precisa estar inscrito no Cloud Armor Enterprise Anual, e você precisa preparar as seguintes informações:
- A conta de faturamento associada ao projeto de destino.
- O número do projeto que contém o recurso de destino.
- O endereço IP voltado para a Internet do recurso de destino.
- O horário em que o ataque foi iniciado.
- O horário em que o ataque foi concluído.
- Volumes de tráfego normais para o serviço afetado
- Volumes de ataque do serviço afetado
Você pode iniciar um chat ou entrar em contato com o suporte pelo Console do Google Cloud. Para mais informações sobre como entrar em contato com o suporte de faturamento do Cloud, consulte Como entrar em contato com o suporte de faturamento do Cloud.
Requisitos de referência entre projetos
Se você usar a referência de serviço entre projetos e quiser aproveitar os preços do Cloud Armor Enterprise, os projetos de serviço de front-end e back-end precisam estar inscritos no Cloud Armor Enterprise anual.
Ataques qualificados
Para balanceadores de carga de rede de passagem externa, encaminhamento de protocolo e endereços IP públicos (VMs), um ataque é considerado qualificado (conforme descrito nos termos e limitações do Google Cloud Armor) apenas se a proteção DDoS avançada já estava ativada para a região com o endpoint atacado no início do ataque.
Usar a inteligência contra ameaças
Para usar a
Inteligência de ameaças, configure uma política de segurança usando a expressão de correspondência
evaluateThreatIntelligence, fornecendo um nome de feed com base na categoria que você quer
permitir ou bloquear. Se o Threat Intelligence bloquear incorretamente um endereço IP, você poderá
adicionar o endereço IP à lista de exclusão para permitir o tráfego.
Solução de problemas do Cloud Armor Enterprise
Nesta seção, você encontra informações para resolver problemas com o Cloud Armor Enterprise.
Você assinou o Cloud Armor Enterprise Anual, mas sua fatura continua usando o modelo de pagamento por utilização.
Se você se inscreveu no Cloud Armor Enterprise e ainda está sendo cobrado pelo modelo de pagamento por utilização, verifique se você inscreveu seus projetos no Cloud Armor Enterprise.
O botão Subscribe está indisponível
Se você não conseguir se inscrever no Cloud Armor Enterprise Anual porque o
botão Subscribe não está disponível, faça o seguinte:
- Verifique se o usuário que está tentando se inscrever tem permissões do IAM suficientes:
- O usuário precisa ter permissões
billing.accounts.updatepara se inscrever no nível da conta de faturamento - O usuário precisa ter
resourcemanager.projects.createBillingAssignmenteresourcemanager.projects.updatepara inscrever ou cancelar a inscrição de projetos individuais dentro do nível.
- O usuário precisa ter permissões
Discrepâncias no faturamento
Se essas dicas de solução de problemas não resolverem os problemas que você está enfrentando, entre em contato com a equipe de suporte de faturamento do Google Cloud.