Créer et gérer des groupes de profils de sécurité

Cette page explique comment créer et gérer des groupes de profils de sécurité à l'aide de la console Google Cloud et de Google Cloud CLI.

Remarque : Pour vérifier la progression des opérations répertoriées sur cette page, assurez-vous que votre rôle utilisateur dispose des autorisations du rôle d'utilisateur de réseau de Compute (roles/compute.networkUser) :

networksecurity.operations.get
networksecurity.operations.list

Avant de commencer

Vous devez activer l'API Network Security dans votre projet.
Installez gcloud CLI si vous souhaitez exécuter les exemples de ligne de commande gcloud de ce guide.
Vous avez besoin d'un profil de sécurité.

Rôles

Pour obtenir les autorisations nécessaires pour créer, afficher, mettre à jour ou supprimer des groupes de profils de sécurité, demandez à votre administrateur de vous accorder les rôles IAM nécessaires sur votre organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Créer un groupe de profils de sécurité

Vous pouvez créer un profil de sécurité de type threat prevention.

Lorsque vous créez un groupe de profils de sécurité, vous pouvez spécifier le nom du groupe de profils de sécurité sous forme de chaîne ou d'identifiant d'URL unique. L'URL unique d'un groupe de profils de sécurité à l'échelle de l'organisation peut présenter le format suivant :

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

Si vous utilisez un identifiant d'URL unique pour le nom du groupe de profils de sécurité, l'organisation et l'emplacement du groupe de profils de sécurité sont déjà inclus dans l'identifiant d'URL. Toutefois, si vous n'utilisez que le nom du groupe de profils de sécurité, vous devez spécifier l'organisation et l'emplacement séparément. Pour en savoir plus sur les identifiants d'URL uniques, consultez la section spécifications du groupe de profils de sécurité.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.

Autorisations

networksecurity.securityProfileGroups.create

Rôles

compute.networkAdmin

Console gcloud

Dans la console Google Cloud, accédez à la page Profils de sécurité.

Accéder à la page "Profils de sécurité"
Dans le menu de sélection du projet, sélectionnez votre organisation.
Sélectionnez l'onglet Groupes de profils de sécurité.

Configurez un groupe de profils de sécurité :

Cliquez sur Créer un groupe de profils.
Saisissez un nom dans le champ Nom.
N'incluez pas d'informations sensibles telles que des informations permettant d'identifier personnellement l'utilisateur ou des données de sécurité dans le nom du groupe de profils de sécurité.
Facultatif : saisissez une description dans le champ Description.
Dans la liste Profil de prévention des menaces, sélectionnez le profil de sécurité que vous souhaitez ajouter à ce groupe de profils de sécurité.
Cliquez sur Créer.

Pour créer un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups create :

gcloud network-security security-profile-groups \
   create NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --project PROJECT_ID \
   --threat-prevention-profile SECURITY_PROFILE_URL \
   --description DESCRIPTION

Remplacez les éléments suivants :

NAME : nom du groupe de profils de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.
N'incluez pas d'informations sensibles telles que des informations permettant d'identifier personnellement l'utilisateur ou des données de sécurité dans le nom du groupe de profils de sécurité.
ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.
LOCATION : emplacement du groupe de profils de sécurité.

L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.
PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.
SECURITY_PROFILE_URL : identifiant d'URL unique du profil de sécurité.
DESCRIPTION : description facultative pour le groupe de profils de sécurité.

Afficher le groupe de profils de sécurité

Vous pouvez afficher les détails d'un groupe de profils de sécurité spécifique dans une organisation.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.

Autorisations

networksecurity.securityProfileGroups.get

Rôles

compute.networkAdmin
compute.networkUser
compute.networkViewer

Console gcloud

Dans la console Google Cloud, accédez à la page Profils de sécurité.

Accéder à la page "Profils de sécurité"
Sélectionnez l'onglet Groupes de profils de sécurité. L'onglet affiche une liste des groupes de profils de sécurité configurés.
Sélectionnez le groupe de profils de sécurité pour afficher ses détails.

Pour afficher les détails d'un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups describe :

gcloud network-security security-profile-groups \
    describe NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

Remplacez les éléments suivants :

NAME : nom du groupe de profils de sécurité. Vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.
ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.
LOCATION : emplacement du groupe de profils de sécurité.

L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.
PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.

Lister les groupes de profils de sécurité

Vous pouvez lister tous les groupes de profils de sécurité dans une organisation.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.

Autorisations

networksecurity.securityProfileGroups.list

Rôles

compute.networkAdmin
compute.networkUser
compute.networkViewer

Console gcloud

Dans la console Google Cloud, accédez à la page Profils de sécurité.

Accéder à la page "Profils de sécurité"
Sélectionnez l'onglet Groupes de profils de sécurité. L'onglet affiche une liste des groupes de profils de sécurité configurés.

Pour répertorier les groupes de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups list :

gcloud network-security security-profile-groups list \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --billing-project PROJECT_ID

Remplacez les éléments suivants :

ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.
LOCATION : emplacement du groupe de profils de sécurité.

L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.
PROJECT_ID : ID de projet facultatif à utiliser pour la facturation du groupe de profils de sécurité.

Mettre à jour un groupe de profils de sécurité

Vous pouvez mettre à jour le nom de profil de sécurité référencé dans un groupe de profils de sécurité.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.

Autorisations

networksecurity.securityProfileGroups.update

Rôles

compute.networkAdmin

Console gcloud

Dans la console Google Cloud, accédez à la page Profils de sécurité.

Accéder à la page "Profils de sécurité"
Sélectionnez l'onglet Groupes de profils de sécurité. L'onglet affiche une liste des groupes de profils de sécurité configurés.
Sélectionnez le groupe de profils de sécurité, puis cliquez sur Modifier.
Mettez à jour les champs nécessaires, puis cliquez sur Enregistrer.

Pour mettre à jour un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups update :

gcloud network-security security-profile-groups \
   update NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --threat-prevention-profile SECURITY_PROFILE_URL \
   --project PROJECT_ID \
   --description DESCRIPTION

Remplacez les éléments suivants :

NAME : nom du groupe de profils de sécurité que vous souhaitez mettre à jour. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.
ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.
LOCATION : emplacement du groupe de profils de sécurité.

L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.
SECURITY_PROFILE_URL : identifiant d'URL unique du profil de sécurité.
PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.
DESCRIPTION : description facultative pour le groupe de profils de sécurité.

Supprimer un groupe de profils de sécurité

Vous pouvez supprimer un groupe de profils de sécurité en spécifiant son nom, son emplacement et son organisation. Toutefois, si un profil de sécurité est référencé par une stratégie de pare-feu, il ne peut pas être supprimé.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou détenir l'un des rôles IAM suivants sur votre organisation.

Autorisations

networksecurity.securityProfileGroups.delete

Rôles

compute.networkAdmin

Console gcloud

Dans la console Google Cloud, accédez à la page Profils de sécurité.

Accéder à la page "Profils de sécurité"
Sélectionnez l'onglet Groupes de profils de sécurité. L'onglet affiche une liste des groupes de profils de sécurité configurés.
Sélectionnez le groupe de profils de sécurité, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.

Pour supprimer un groupe de profils de sécurité, exécutez la commande gcloud network-security security-profile-groups delete :

gcloud network-security security-profile-groups \
   delete NAME \
   --organization ORGANIZATION_ID \
   --location LOCATION \
   --billing-project PROJECT_ID

Remplacez les éléments suivants :

NAME : nom du groupe de profils de sécurité que vous souhaitez supprimer. Vous pouvez spécifier le nom sous forme de chaîne ou d'identifiant d'URL unique.
ORGANIZATION_ID : organisation dans laquelle le groupe de profils de sécurité est créé. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option organization.
LOCATION : emplacement du groupe de profils de sécurité.

L'emplacement est toujours défini sur global. Si vous utilisez un identifiant d'URL unique pour l'option name, vous pouvez omettre l'option location.
PROJECT_ID : ID de projet facultatif à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.

Étapes suivantes

Créer et gérer des points de terminaison de pare-feu