Cette page explique comment créer et gérer des groupes de profils de sécurité à l'aide de la console Google Cloud et de Google Cloud CLI.
Avant de commencer
- Vous devez activer l'API Network Security dans votre projet.
Installez gcloud CLI si vous souhaitez exécuter les exemples de ligne de commande
gcloud
de ce guide.Vous avez besoin d'un profil de sécurité.
Rôles
Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des groupes de profils de sécurité, demandez à votre administrateur de vous accorder les rôles IAM nécessaires sur votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Créer un groupe de profils de sécurité
Vous pouvez créer un profil de sécurité de type threat prevention
.
Lorsque vous créez un groupe de profils de sécurité, vous pouvez spécifier le nom du groupe de profils de sécurité sous forme de chaîne ou d'identifiant d'URL unique. L'URL unique d'un groupe de profils de sécurité à l'échelle de l'organisation peut présenter le format suivant :
organization/ORGANIZATION_ID /locations/LOCATION /securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
Si vous utilisez un identifiant d'URL unique pour le nom du groupe de profils de sécurité, l'organisation et l'emplacement du groupe de profils de sécurité sont déjà inclus dans l'identifiant d'URL. Toutefois, si vous n'utilisez que le nom du groupe de profils de sécurité, vous devez spécifier l'organisation et l'emplacement séparément. Pour en savoir plus sur les identifiants d'URL uniques, consultez la section spécifications du groupe de profils de sécurité.
Autorisations requises pour cette tâche
Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.
Autorisations
networksecurity.securityProfileGroups.create
Rôles
compute.networkAdmin
Dans la console Google Cloud, accédez à la page Profils de sécurité.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Sélectionnez l'onglet Groupes de profils de sécurité.
Configurez un groupe de profils de sécurité :
- Cliquez sur Créer un groupe de profils.
- Saisissez un nom dans le champ Nom.
- Facultatif : saisissez une description dans le champ Description.
- Dans la liste Profil de prévention des menaces, sélectionnez le profil de sécurité que vous souhaitez ajouter à ce groupe de profils de sécurité.
- Cliquez sur Créer.
Pour créer un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups create
:
gcloud network-security security-profile-groups \ createNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --projectPROJECT_ID \ --threat-prevention-profileSECURITY_PROFILE_URL \ --descriptionDESCRIPTION
Remplacez les éléments suivants :
NAME
: nom du groupe de profils de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.ORGANIZATION_ID
: organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionorganization
.LOCATION
: emplacement du groupe de profils de sécurité.L'emplacement est toujours défini sur
global
. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionlocation
.PROJECT_ID
: ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.SECURITY_PROFILE_URL
: identifiant d'URL unique du profil de sécurité.DESCRIPTION
: description facultative pour le groupe de profils de sécurité.
Afficher le groupe de profils de sécurité
Vous pouvez afficher les détails d'un groupe de profils de sécurité spécifique dans une organisation.
Autorisations requises pour cette tâche
Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.
Autorisations
networksecurity.securityProfileGroups.get
Rôles
compute.networkAdmin
compute.networkUser
compute.networkViewer
Dans la console Google Cloud, accédez à la page Profils de sécurité.
Sélectionnez l'onglet Groupes de profils de sécurité. L'onglet affiche une liste des groupes de profils de sécurité configurés.
Sélectionnez le groupe de profils de sécurité pour afficher ses détails.
Pour afficher les détails d'un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups describe
:
gcloud network-security security-profile-groups \ describeNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --projectPROJECT_ID
Remplacez les éléments suivants :
NAME
: nom du groupe de profils de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.ORGANIZATION_ID
: organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionorganization
.LOCATION
: emplacement du groupe de profils de sécurité.L'emplacement est toujours défini sur
global
. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionlocation
.PROJECT_ID
: ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.
Lister les groupes de profils de sécurité
Vous pouvez lister tous les groupes de profils de sécurité dans une organisation.
Autorisations requises pour cette tâche
Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.
Autorisations
networksecurity.securityProfileGroups.list
Rôles
compute.networkAdmin
compute.networkUser
compute.networkViewer
Dans la console Google Cloud, accédez à la page Profils de sécurité.
Sélectionnez l'onglet Groupes de profils de sécurité. L'onglet affiche une liste des groupes de profils de sécurité configurés.
Pour répertorier les groupes de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups list
:
gcloud network-security security-profile-groups list \ --organizationORGANIZATION_ID \ --locationLOCATION \ --billing-projectPROJECT_ID
Remplacez les éléments suivants :
ORGANIZATION_ID
: organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionorganization
.LOCATION
: emplacement du groupe de profils de sécurité.L'emplacement est toujours défini sur
global
. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionlocation
.PROJECT_ID
: ID de projet facultatif à utiliser pour la facturation du groupe de profils de sécurité.
Mettre à jour un groupe de profils de sécurité
Vous pouvez mettre à jour le nom de profil de sécurité référencé dans un groupe de profils de sécurité.
Autorisations requises pour cette tâche
Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.
Autorisations
networksecurity.securityProfileGroups.update
Rôles
compute.networkAdmin
Dans la console Google Cloud, accédez à la page Profils de sécurité.
Sélectionnez l'onglet Groupes de profils de sécurité. L'onglet affiche une liste des groupes de profils de sécurité configurés.
Sélectionnez le groupe de profils de sécurité, puis cliquez sur Modifier.
Mettez à jour les champs nécessaires, puis cliquez sur Enregistrer.
Pour mettre à jour un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups update
:
gcloud network-security security-profile-groups \ updateNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --threat-prevention-profileSECURITY_PROFILE_URL \ --projectPROJECT_ID \ --descriptionDESCRIPTION
Remplacez les éléments suivants :
NAME
: nom du groupe de profils de sécurité que vous souhaitez mettre à jour. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.ORGANIZATION_ID
: organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionorganization
.LOCATION
: emplacement du groupe de profils de sécurité.L'emplacement est toujours défini sur
global
. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionlocation
.SECURITY_PROFILE_URL
: identifiant d'URL unique du profil de sécurité.PROJECT_ID
: ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.DESCRIPTION
: description facultative pour le groupe de profils de sécurité.
Supprimer un groupe de profils de sécurité
Vous pouvez supprimer un groupe de profils de sécurité en spécifiant son nom, son emplacement et son organisation. Toutefois, si un profil de sécurité est référencé par une stratégie de pare-feu, il ne peut pas être supprimé.
Autorisations requises pour cette tâche
Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.
Autorisations
networksecurity.securityProfileGroups.delete
Rôles
-
compute.networkAdmin
Dans la console Google Cloud, accédez à la page Profils de sécurité.
Sélectionnez l'onglet Groupes de profils de sécurité. L'onglet affiche une liste des groupes de profils de sécurité configurés.
Sélectionnez le groupe de profils de sécurité, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
Pour supprimer un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups delete
:
gcloud network-security security-profile-groups \ deleteNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --billing-projectPROJECT_ID
Remplacez les éléments suivants :
NAME
: nom du groupe de profils de sécurité que vous souhaitez supprimer. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.ORGANIZATION_ID
: organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionorganization
.LOCATION
: emplacement du groupe de profils de sécurité.L'emplacement est toujours défini sur
global
. Si vous utilisez un identifiant d'URL unique pour l'optionname
, vous pouvez omettre l'optionlocation
.PROJECT_ID
: ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.