本页面介绍如何使用 Google Cloud 控制台和 Google Cloud CLI 创建和管理安全配置文件组。
准备工作
- 您必须在项目中enable Network Security API。
如果您要运行本指南中的
gcloud命令行示例,请安装 gcloud CLI。您需要有一个安全配置文件。
角色
如需获得创建、查看、更新或删除安全配置文件组所需的权限,请让您的管理员向您授予组织的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
创建安全配置文件组
您可以创建 threat prevention 类型的安全配置文件。
创建安全配置文件组时,您可以将安全配置文件组的名称指定为字符串或唯一网址标识符。组织级安全配置文件组的唯一网址可以按以下格式构建:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
如果您为安全配置文件组名称使用唯一网址标识符,则安全配置文件组的组织和位置已包含在网址标识符中。但是,如果您只使用安全配置文件组名称,则必须单独指定组织和位置。如需详细了解唯一网址标识符,请参阅安全配置文件组规范。
控制台
在 Google Cloud 控制台中,进入安全配置文件页面。
在项目选择器菜单中,选择您的组织。
选择安全配置文件组标签页。
配置安全配置文件组:
- 点击创建配置文件组。
- 在名称字段中输入名称。
- 可选:在说明字段中输入说明。
- 在威胁防护配置文件列表中,选择要添加到此安全配置文件组的安全配置文件。
- 点击创建。
gcloud
如需创建安全配置文件组,请使用 gcloud network-security security-profile-groups create 命令:
gcloud network-security security-profile-groups \ create NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_ID \ --threat-prevention-profile SECURITY_PROFILE_URL \ --description DESCRIPTION
替换以下内容:
NAME:安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:创建安全配置文件组的组织。如果您为name标志使用唯一网址标识符,则可以省略organization标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为name标志使用唯一网址标识符,则可以省略location标志。PROJECT_ID:用于安全配置文件组的配额和访问权限限制的可选项目 ID。SECURITY_PROFILE_URL:安全配置文件的唯一网址标识符。DESCRIPTION:安全配置文件组的可选说明。
查看安全配置文件组
您可以查看组织中特定安全配置文件组的详细信息。
控制台
在 Google Cloud 控制台中,进入安全配置文件页面。
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
选择安全配置文件组以查看其详细信息。
gcloud
如需查看安全配置文件组的详细信息,请使用 gcloud network-security security-profile-groups describe 命令:
gcloud network-security security-profile-groups \
describe NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--project PROJECT_ID
替换以下内容:
NAME:安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:创建安全配置文件组的组织。如果您为name标志使用唯一网址标识符,则可以省略organization标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为name标志使用唯一网址标识符,则可以省略location标志。PROJECT_ID:用于安全配置文件组的配额和访问权限限制的可选项目 ID。
列出安全配置文件组
您可以列出组织中的所有安全配置文件组。
控制台
在 Google Cloud 控制台中,进入安全配置文件页面。
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
gcloud
如需列出安全配置文件组,请使用 gcloud network-security security-profile-groups list 命令:
gcloud network-security security-profile-groups list \ --organization ORGANIZATION_ID \ --location LOCATION \ --billing-project PROJECT_ID
替换以下内容:
ORGANIZATION_ID:创建安全配置文件组的组织。如果您为name标志使用唯一网址标识符,则可以省略organization标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为name标志使用唯一网址标识符,则可以省略location标志。PROJECT_ID:用于安全配置文件组结算的可选项目 ID。
更新安全配置文件组
您可以更新安全配置文件组中引用的安全配置文件名称。
控制台
在 Google Cloud 控制台中,进入安全配置文件页面。
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
选择安全配置文件组,然后点击修改。
更新必填字段,然后点击保存。
gcloud
如需更新安全配置文件组,请使用 gcloud network-security security-profile-groups update 命令:
gcloud network-security security-profile-groups \ update NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --threat-prevention-profile SECURITY_PROFILE_URL \ --project PROJECT_ID \ --description DESCRIPTION
替换以下内容:
NAME:您要更新的安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:创建安全配置文件组的组织。如果您为name标志使用唯一网址标识符,则可以省略organization标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为name标志使用唯一网址标识符,则可以省略location标志。SECURITY_PROFILE_URL:安全配置文件的唯一网址标识符。PROJECT_ID:用于安全配置文件组的配额和访问权限限制的可选项目 ID。DESCRIPTION:安全配置文件组的可选说明。
删除安全配置文件组
您可以通过指定安全配置文件组的名称、位置和组织来删除它。但是,如果防火墙政策引用了安全配置文件,则无法删除该安全配置文件组。
控制台
在 Google Cloud 控制台中,进入安全配置文件页面。
选择安全配置文件组标签页。该标签页会显示已配置的安全配置文件组的列表。
选择安全配置文件组,然后点击删除。
再次点击删除进行确认。
gcloud
如需删除安全配置文件组,请使用 gcloud network-security security-profile-groups delete 命令:
gcloud network-security security-profile-groups \ delete NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --billing-project PROJECT_ID
替换以下内容:
NAME:您要删除的安全配置文件组的名称;您可以将名称指定为字符串或唯一网址标识符。ORGANIZATION_ID:创建安全配置文件组的组织。如果您为name标志使用唯一网址标识符,则可以省略organization标志。LOCATION:安全配置文件组的位置。位置始终设置为
global。如果您为name标志使用唯一网址标识符,则可以省略location标志。PROJECT_ID:用于安全配置文件组的配额和访问权限限制的可选项目 ID。