Questa pagina spiega come creare e gestire i gruppi di profili di sicurezza utilizzando la console Google Cloud e Google Cloud CLI.
Prima di iniziare
- Devi abilitare l'API Network Security nel tuo progetto.
Installa gcloud CLI se vuoi eseguire gli esempi della riga di comando
gcloud
in questa guida.È necessario un profilo di sicurezza.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare, aggiornare o eliminare i gruppi di profili di sicurezza, chiedi all'amministratore di concederti i ruoli IAM necessari per la tua organizzazione. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.
Crea un gruppo di profili di sicurezza
Puoi creare un profilo di sicurezza di tipo threat prevention
.
Quando crei un gruppo di profili di sicurezza, puoi specificare il nome del gruppo come stringa o come identificatore URL univoco. L'URL univoco per un gruppo di profili di sicurezza a livello di organizzazione può essere creato nel seguente formato:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
Se utilizzi un identificatore URL univoco per il nome del gruppo di profili di sicurezza, la posizione e l'organizzazione del gruppo di profili di sicurezza sono già incluse nell'identificatore URL. Tuttavia, se utilizzi solo il nome del gruppo di profili di sicurezza, devi specificare l'organizzazione e la località separatamente. Per ulteriori informazioni sugli identificatori URL univoci, consulta le specifiche del gruppo di profili di sicurezza.
Console
Nella console Google Cloud, vai alla pagina Profili di sicurezza.
Nel menu del selettore dei progetti, seleziona la tua organizzazione.
Seleziona la scheda Gruppi di profili di sicurezza.
Configura un gruppo di profili di sicurezza:
- Fai clic su Crea gruppo di profili.
- Inserisci un nome nel campo Nome.
- (Facoltativo) Inserisci una descrizione nel campo Descrizione.
- Nell'elenco Profilo di prevenzione delle minacce, seleziona il profilo di sicurezza che vuoi aggiungere a questo gruppo di profili di sicurezza.
- Fai clic su Crea.
gcloud
Per creare un gruppo di profili di sicurezza, utilizza il
comando gcloud network-security security-profile-groups create
:
gcloud network-security security-profile-groups \ create NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_ID \ --threat-prevention-profile SECURITY_PROFILE_URL \ --description DESCRIPTION
Sostituisci quanto segue:
NAME
: il nome del gruppo di profili di sicurezza. Puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID
: l'organizzazione in cui viene creato il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per ilname
flag, puoi omettere ilname
flag.organization
LOCATION
: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global
. Se utilizzi un identificatore URL univoco per il flagname
, puoi omettere il flagname
.location
PROJECT_ID
: un ID progetto facoltativo da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.SECURITY_PROFILE_URL
: un identificatore URL univoco del profilo di sicurezza.DESCRIPTION
: una descrizione facoltativa per il gruppo di profili di sicurezza.
Visualizza gruppo di profili di sicurezza
Puoi visualizzare i dettagli di un gruppo di profili di sicurezza specifico in un'organizzazione.
Console
Nella console Google Cloud, vai alla pagina Profili di sicurezza.
Seleziona la scheda Gruppi di profili di sicurezza. La scheda mostra un elenco di gruppi di profili di sicurezza configurati.
Seleziona il gruppo di profili di sicurezza per visualizzarne i dettagli.
gcloud
Per visualizzare i dettagli di un gruppo di profili di sicurezza, utilizza il
comando gcloud network-security security-profile-groups describe
:
gcloud network-security security-profile-groups \ describe NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_ID
Sostituisci quanto segue:
NAME
: il nome del gruppo di profili di sicurezza. Puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID
: l'organizzazione in cui viene creato il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per ilname
flag, puoi omettere ilname
flag.organization
LOCATION
: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global
. Se utilizzi un identificatore URL univoco per il flagname
, puoi omettere il flagname
.location
PROJECT_ID
: un ID progetto facoltativo da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.
Elenca i gruppi di profili di sicurezza
Puoi elencare tutti i gruppi di profili di sicurezza di un'organizzazione.
Console
Nella console Google Cloud, vai alla pagina Profili di sicurezza.
Seleziona la scheda Gruppi di profili di sicurezza. La scheda mostra un elenco di gruppi di profili di sicurezza configurati.
gcloud
Per elencare i gruppi di profili di sicurezza, utilizza il
comando gcloud network-security security-profile-groups list
:
gcloud network-security security-profile-groups list \ --organization ORGANIZATION_ID \ --location LOCATION \ --billing-project PROJECT_ID
Sostituisci quanto segue:
ORGANIZATION_ID
: l'organizzazione in cui viene creato il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per ilname
flag, puoi omettere ilname
flag.organization
LOCATION
: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global
. Se utilizzi un identificatore URL univoco per il flagname
, puoi omettere il flagname
.location
PROJECT_ID
: un ID progetto facoltativo da utilizzare per la fatturazione del gruppo di profili di sicurezza.
Aggiornare un gruppo di profili di sicurezza
Puoi aggiornare il nome del profilo di sicurezza a cui fa riferimento un gruppo di profili di sicurezza.
Console
Nella console Google Cloud, vai alla pagina Profili di sicurezza.
Seleziona la scheda Gruppi di profili di sicurezza. La scheda mostra un elenco di gruppi di profili di sicurezza configurati.
Seleziona il gruppo di profili di sicurezza, quindi fai clic su Modifica.
Aggiorna i campi obbligatori e fai clic su Salva.
gcloud
Per aggiornare un gruppo di profili di sicurezza, utilizza il
comando gcloud network-security security-profile-groups update
:
gcloud network-security security-profile-groups \ update NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --threat-prevention-profile SECURITY_PROFILE_URL \ --project PROJECT_ID \ --description DESCRIPTION
Sostituisci quanto segue:
NAME
: il nome del gruppo di profili di sicurezza che vuoi aggiornare. Puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID
: l'organizzazione in cui viene creato il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per ilname
flag, puoi omettere ilname
flag.organization
LOCATION
: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global
. Se utilizzi un identificatore URL univoco per il flagname
, puoi omettere il flagname
.location
SECURITY_PROFILE_URL
: un identificatore URL univoco del profilo di sicurezza.PROJECT_ID
: un ID progetto facoltativo da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.DESCRIPTION
: una descrizione facoltativa per il gruppo di profili di sicurezza.
Eliminare un gruppo di profili di sicurezza
Puoi eliminare un gruppo di profili di sicurezza specificandone il nome, la località e l'organizzazione. Tuttavia, se un profilo di sicurezza è fatto riferimento da un criterio di firewall, il gruppo di profili di sicurezza non può essere eliminato.
Console
Nella console Google Cloud, vai alla pagina Profili di sicurezza.
Seleziona la scheda Gruppi di profili di sicurezza. La scheda mostra un elenco di gruppi di profili di sicurezza configurati.
Seleziona il gruppo di profili di sicurezza, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare un gruppo di profili di sicurezza, utilizza il
comando gcloud network-security security-profile-groups delete
:
gcloud network-security security-profile-groups \ delete NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --billing-project PROJECT_ID
Sostituisci quanto segue:
NAME
: il nome del gruppo di profili di sicurezza che vuoi eliminare. Puoi specificare il nome come stringa o come identificatore URL univoco.ORGANIZATION_ID
: l'organizzazione in cui viene creato il gruppo di profili di sicurezza. Se utilizzi un identificatore URL univoco per ilname
flag, puoi omettere ilname
flag.organization
LOCATION
: la posizione del gruppo di profili di sicurezza.La posizione è sempre impostata su
global
. Se utilizzi un identificatore URL univoco per il flagname
, puoi omettere il flagname
.location
PROJECT_ID
: un ID progetto facoltativo da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.