Ce guide fournit des instructions d'utilisation de Google Cloud Armor Enterprise. Pour en savoir plus sur Cloud Armor Enterprise, consultez la présentation de Google Cloud Armor Enterprise.
Autorisations IAM requises
Pour abonner un compte de facturation à Cloud Armor Enterprise ou activer/désactiver le paramètre de renouvellement automatique de l'abonnement, vous devez être un utilisateur disposant de l'autorisation IAM (Identity and Access Management) billing.accounts.update pour le compte de facturation abonné.
Pour enregistrer un projet dans l'abonnement Cloud Armor Enterprise, vous devez disposer des autorisations IAM suivantes pour le projet actuellement sélectionné que vous enregistrez dans Cloud Armor Enterprise:
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.update
Pour en savoir plus sur les autorisations de facturation, consultez la page Présentation du contrôle des accès à Cloud Billing.
S'abonner à Cloud Armor Enterprise et enregistrer des projets
Pour vous abonner à Cloud Armor Enterprise et enregistrer le projet en cours, procédez comme suit. Les chemins d'enregistrement pour Cloud Armor Enterprise annuel et Cloud Armor Enterprise Paygo ne sont pas identiques, et certains chemins sont réservés à la console Google Cloud ou à la Google Cloud CLI.
Console
S'abonner à Cloud Armor Enterprise annuel
Dans la console Google Cloud, accédez à la page Niveau de service Cloud Armor. Si votre abonnement est actif, le compte de facturation est déjà abonné.
Cliquez sur S'abonner et s'inscrire dans le volet Cloud Armor Enterprise annuel. Une boîte de dialogue de confirmation s'affiche.
S'inscrire à Cloud Armor Enterprise Paygo
Dans la console Google Cloud, accédez à la page Niveau de service Cloud Armor.
Cliquez sur S'inscrire dans le volet Cloud Armor Enterprise Paygo.
gcloud
S'abonner à Cloud Armor Enterprise annuel
S'inscrire à Cloud Armor Enterprise Paygo
Pour enregistrer le projet en cours dans Cloud Armor Enterprise Paygo, utilisez la commande gcloud suivante:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Nous vous recommandons vivement d'enregistrer vos projets dans Cloud Armor Enterprise dès que possible, car l'activation peut prendre jusqu'à 24 heures. Pendant cette période, vous pouvez continuer à enregistrer des projets.
Pour enregistrer d'autres projets, procédez comme suit.
Console
Enregistrer des projets supplémentaires dans le forfait annuel Cloud Armor Enterprise
Dans la console Google Cloud, accédez à la page Niveau de service Cloud Armor.
Dans le volet Cloud Armor Enterprise Annual, cliquez sur Enregistrer.
Inscrire des projets supplémentaires dans Cloud Armor Enterprise Paygo
Dans la console Google Cloud, accédez à la page Niveau de service Cloud Armor.
Dans le volet Cloud Armor Enterprise Paygo, cliquez sur Enregistrer.
gcloud
Enregistrer des projets supplémentaires dans le forfait annuel Cloud Armor Enterprise
Inscrire des projets supplémentaires dans Cloud Armor Enterprise Paygo
Exécutez la commande suivante pour enregistrer un projet dans Cloud Armor Enterprise Paygo:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Supprimer un projet de Cloud Armor Enterprise
Avant de supprimer votre projet de Cloud Armor Enterprise, nous vous recommandons de vous familiariser avec la section Revenir à une version antérieure depuis Cloud Armor Enterprise. Lorsque vous désinscrivez un projet de Cloud Armor Enterprise, un délai de 12 heures peut s'écouler avant que la modification ne prenne effet. Vous pourrez continuer à annuler l'enregistrement d'autres projets pendant cette période.
Pour annuler l'enregistrement d'un projet dans Cloud Armor Enterprise, procédez comme suit.
Console
Annuler l'enregistrement d'un projet dans Cloud Armor Enterprise annuel
Dans la console Google Cloud, accédez à la page Niveau de service Cloud Armor.
Dans le volet Standard, cliquez sur S'inscrire.
Annuler l'enregistrement d'un projet auprès de Cloud Armor Enterprise Paygo
Dans la console Google Cloud, accédez à la page Niveau de service Cloud Armor.
Dans le volet Standard, cliquez sur S'inscrire.
gcloud
Annuler l'enregistrement d'un projet dans Cloud Armor Enterprise annuel
Vous ne pouvez pas annuler l'enregistrement d'un projet auprès de Cloud Armor Enterprise annuel à l'aide de la Google Cloud CLI. Vous devez utiliser la console Google Cloud à la place.
Annuler l'enregistrement d'un projet auprès de Cloud Armor Enterprise Paygo
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Afficher ou modifier votre niveau d'inscription
Utilisez les sections suivantes pour afficher votre niveau d'inscription actuel à Cloud Armor Enterprise, pour remplacer votre enregistrement Cloud Armor Enterprise annuel par Cloud Armor Enterprise Paygo, ou pour passer de Cloud Armor Enterprise Paygo à Cloud Armor Enterprise annuel.
Afficher le niveau d'enregistrement Cloud Armor Enterprise actuel
Suivez ces instructions pour afficher votre niveau d'inscription Cloud Armor Enterprise actuel.
Console
Dans la console Google Cloud, accédez à la page Niveau de service Cloud Armor.
Les niveaux de service Cloud Armor Enterprise disponibles s'affichent, y compris Cloud Armor Enterprise Paygo et Cloud Armor Enterprise Paygo. Votre niveau d'enregistrement Cloud Armor Enterprise actuel est mis en surbrillance et affiche l'état "Inscrit" dans le champ Projet.
gcloud
Pour afficher votre niveau d'enregistrement Cloud Armor Enterprise actuel, utilisez la commande gcloud suivante:
gcloud compute project-info describe
Afficher le nombre de services de backend et de buckets backend couverts par un enregistrement
Chaque projet enregistré dans Cloud Armor Enterprise affiche le nombre de services de backend et de buckets backend couverts sur la page Cloud Armor Enterprise. Il s'agit du nombre total de services de backend et de buckets backend couverts par l'enregistrement.
Si le projet est enregistré dans Cloud Armor Enterprise Standard, qui est le niveau par défaut, ce nombre ne s'affiche pas.
Modifier l'enregistrement de Cloud Armor Enterprise annuel vers Cloud Armor Enterprise Paygo
Pour modifier votre inscription de Cloud Armor Enterprise annuel à Cloud Armor Enterprise Paygo, procédez comme suit:
- Désinscrivez votre projet de Cloud Armor Enterprise annuel.
- Inscrivez-vous à Cloud Armor Enterprise Paygo.
Modifier l'enregistrement de Cloud Armor Enterprise Paygo à Cloud Armor Enterprise annuel
Pour passer de Cloud Armor Enterprise Paygo à Cloud Armor Enterprise annuel, procédez comme suit:
- Désinscrivez votre projet de Cloud Armor Enterprise Paygo.
- Inscrivez-vous à Cloud Armor Enterprise annuel.
Désabonner un compte de facturation de Cloud Armor Enterprise annuel
Un abonnement annuel à Cloud Armor Enterprise est un engagement d'un an qui est renouvelé automatiquement. Pour éviter le renouvellement à la fin de l'échéance d'un an, vous devez désactiver le renouvellement automatique. Une fois le renouvellement automatique désactivé, lorsque vous atteignez la fin de la période d'abonnement d'un an en cours, votre abonnement annuel Cloud Armor Enterprise n'est pas renouvelé et tous les projets du compte de facturation enregistrés pour Cloud Armor Enterprise Standard sont rétablis.
Pour annuler le renouvellement automatique annuel de Cloud Armor Enterprise, procédez comme suit.
Console
Lorsque vous êtes connecté au compte de facturation auquel vous êtes abonné, accédez à la page Niveau de service Cloud Armor dans la console Google Cloud.
Cliquez sur Renouveler automatiquement (désactivé). Votre abonnement Cloud Armor Enterprise n'est pas renouvelé à l'expiration de votre abonnement actuel. Les projets enregistrés dans Cloud Armor Enterprise ne sont alors plus enregistrés. Ils bénéficient toujours de la protection DDoS fournie dans Cloud Armor Enterprise Standard.
Vous pouvez réabonner un compte de facturation à Cloud Armor Enterprise annuel à tout moment. Dans ce cas, vous devez également réenregistrer les projets pour lesquels vous souhaitez bénéficier des modèles de tarification et des fonctionnalités supplémentaires de Cloud Armor Enterprise.
Ouvrir une demande d'assistance concernant la réponse DDoS
Pour bénéficier d'une assistance en réponse aux attaques DDoS, vous devez ouvrir une demande d'assistance via la console Google Cloud. Si vous remplissez les critères d'éligibilité, votre demande est transmise à l'équipe de réponse aux attaques DDoS de Google Cloud Armor pour obtenir de l'aide, l'évaluer et l'atténuer.
Pour ouvrir une demande de réponse DDoS, procédez comme suit:
Dans la console Google Cloud, accédez à la page Assistance.
Sélectionnez le projet pour lequel vous souhaitez ouvrir une demande de gestion des attaques DDoS.
Sélectionnez Demandes.
Cliquez sur Créer une demande.
Indiquez si la demande est une demande de gestion des attaques DDoS.
Renseignez les champs obligatoires, puis soumettez le formulaire.
Activer la protection des factures contre les attaques DDoS
Pour déposer une demande de protection des factures contre les attaques DDoS, votre projet doit être inscrit à Cloud Armor Enterprise annuel et vous devez préparer les informations suivantes:
- Le compte de facturation associé au projet ciblé
- Le numéro du projet contenant la ressource ciblée
- L'adresse IP Internet de la ressource ciblée
- La date et l'heure auxquelles l'attaque a commencé
- La date et l'heure auxquelles l'attaque s'est terminée
- Les volumes de trafic normaux pour le service concerné
- Les volumes d'attaque du service concerné
Vous pouvez démarrer un chat ou contacter l'assistance pour la facturation via Google Cloud Console. Pour savoir comment contacter l'assistance Cloud Billing, consultez la section Contacter l'assistance Cloud Billing.
Exigences concernant le référencement multiprojets
Si vous utilisez le référencement de service multiprojet et que vous souhaitez bénéficier de la tarification Cloud Armor Enterprise, les projets de service d'interface et de backend doivent être inscrits à Cloud Armor Enterprise annuel.
Attaques qualifiées
Pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole et les adresses IP publiques (VM), une attaque est considérée comme une attaque qualifiée (comme décrit dans les Conditions d'utilisation et limites de Google Cloud Armor) uniquement si la protection DDoS avancée a déjà été activée pour la région où le point de terminaison a été attaqué au début de l'attaque.
Utilisez la Threat Intelligence
Pour utiliser Threat Intelligence, vous devez configurer une stratégie de sécurité à l'aide de l'expression de correspondance evaluateThreatIntelligence, en spécifiant un nom de flux basé sur la catégorie que vous souhaitez autoriser ou bloquer. Si Threat Intelligence bloque une adresse IP valide, vous pouvez ajouter celle-ci à la liste d'exclusion pour autoriser le trafic correspondant.
Résoudre les problèmes liés à Cloud Armor Enterprise
Cette section fournit des informations pour vous aider à résoudre les problèmes liés à Cloud Armor Enterprise.
Vous avez souscrit un abonnement annuel à Cloud Armor Enterprise, mais votre facture continue du paiement à l'usage
Si vous avez souscrit à Cloud Armor Enterprise et que vous êtes toujours facturé à l'usage, vérifiez si vous avez enregistré vos projets dans Cloud Armor Enterprise.
Le bouton Subscribe n'est pas disponible
Si vous ne parvenez pas à vous abonner à Cloud Armor Enterprise annuel parce que le bouton Subscribe n'est pas disponible, procédez comme suit:
- Assurez-vous que l'utilisateur qui tente de s'abonner dispose des autorisations IAM suffisantes :
- L'utilisateur doit disposer des autorisations
billing.accounts.updatepour s'abonner au niveau du compte de facturation. - L'utilisateur doit disposer de
resourcemanager.projects.createBillingAssignmentet deresourcemanager.projects.updatepour enregistrer des projets individuels dans ce niveau ou en dehors.
- L'utilisateur doit disposer des autorisations
Écarts de facturation
Si ces conseils de dépannage ne permettent pas de résoudre les problèmes que vous rencontrez, contactez l'équipe d'assistance chargée de la facturation Google Cloud.
Étapes suivantes
- Résoudre les problèmes
- Utiliser la documentation de référence sur le langage des règles personnalisées