安全配置文件组概览

安全配置文件组是安全配置文件的容器。防火墙政策规则引用安全配置文件组,以在网络上启用第 7 层检查,例如入侵防御

本文档详细介绍了安全配置文件组及其功能。

规格

  • 安全配置文件组是组织级层资源。

  • 您只能将一个类型为 threat-prevention安全配置文件添加到安全配置文件组中。

  • 每个安全配置文件组都由包含以下元素的网址唯一标识:

    • 组织 ID:组织的 ID。
    • 位置:安全配置文件组的范围。位置始终设置为 global
    • 名称:安全配置文件组名称,格式如下:
      • 长度为 1-63 个字符的字符串
      • 仅包含字母数字字符或连字符 (-)
      • 不能以数字开头

    如需为安全配置文件组构建唯一的网址标识符,请使用以下格式:

    organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
    

    例如,组织 2345678432 中的 global 安全配置文件组 example-security-profile-group 具有以下唯一标识符:

    organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group
    
  • 如需对网络流量执行第 7 层检查,防火墙政策规则必须包含防火墙端点要使用的安全配置文件组的名称。

  • 安全配置文件组仅在您添加具有 apply_security_profile_group 操作的防火墙政策规则时应用于防火墙政策。您可以在分层防火墙政策规则全球网络防火墙政策规则中配置安全配置文件组。

  • 防火墙政策规则应用于 Virtual Private Cloud (VPC) 网络的传入和传出流量。匹配的流量以及配置的安全配置文件组名称会重定向到防火墙端点。防火墙端点使用安全配置文件组中指定的安全配置文件扫描数据包中的威胁并应用配置的操作。

    如需详细了解如何配置威胁防护,请参阅配置入侵防御服务

  • 每个安全配置文件组都必须具有关联的项目 ID。关联项目用于安全配置文件组资源的配额和访问权限限制。如果您使用 gcloud auth activate-service-account 命令对您的服务账号进行身份验证,则可以将您的服务账号与安全配置文件组相关联。如需详细了解如何创建配置文件组,请参阅创建和管理安全配置文件组

Identity and Access Management 角色

Identity and Access Management (IAM) 角色控制以下安全配置文件组操作:

  • 在组织中创建安全配置文件组
  • 修改或删除安全配置文件组
  • 查看安全配置文件组的详细信息
  • 查看组织中的安全配置文件组列表
  • 使用防火墙政策规则中的安全配置文件组

下表介绍了每个步骤所需的角色。

特性 必要角色
创建安全配置文件组 创建安全配置文件组的组织的 compute.networkAdmin 角色。
修改安全配置文件组 创建安全配置文件组的组织的 compute.networkAdmin 角色。
查看组织中安全配置文件组的详细信息 组织的以下角色之一:
compute.networkAdmin
compute.networkViewer
compute.networkUser
查看组织中的所有安全配置文件组 组织的以下角色之一:
compute.networkAdmin
compute.networkViewer
compute.networkUser
使用防火墙政策规则中的安全配置文件组 组织的以下角色之一:
compute.networkAdmin
compute.networkUser

后续步骤