Nesta página, explicamos como criar e gerenciar grupos de perfis de segurança usando o console do Google Cloud e a CLI do Google Cloud.
Antes de começar
- É necessário ativar a API Network Security no projeto.
Instale a CLI gcloud se você quiser executar os exemplos de linhas de comando
gcloudneste guia.Você precisa de um perfil de segurança.
Papéis
Para receber as permissões necessárias de criação, visualização, atualização ou exclusão de grupos de perfis de segurança, solicite ao administrador que conceda a você os papéis do IAM necessários na sua organização. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Criar um grupo de perfis de segurança
É possível criar um perfil de segurança do tipo threat prevention.
Ao criar um grupo de perfis de segurança, é possível especificar o nome dele como uma string ou um identificador de URL exclusivo. O URL exclusivo de um grupo de perfis de segurança com escopo da organização pode ser criado no seguinte formato:
organization/ORGANIZATION_ID /locations/LOCATION /securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
Se você usar um identificador de URL exclusivo para o nome do grupo de perfis de segurança, a organização e o local do grupo já estarão incluídos no identificador de URL. No entanto, se você usar apenas o nome do grupo de perfis de segurança, será necessário especificar a organização e o local separadamente. Para mais informações sobre identificadores exclusivos de URL, consulte as especificações do grupo de perfis de segurança.
Permissões exigidas para a tarefa
Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.
Permissões
networksecurity.securityProfileGroups.create
Papéis
compute.networkAdmin
No Console do Google Cloud, acesse a página Perfis de segurança.
No menu do seletor de projetos, selecione sua organização.
Selecione a guia Grupos de perfis de segurança.
Configure um grupo de perfis de segurança:
- Clique em Criar grupo de perfis.
- Digite um nome no campo Nome. .
- Opcional: insira uma descrição no campo Descrição.
- Na lista Perfil de prevenção de ameaças, selecione o perfil de segurança que você quer adicionar a esse grupo.
- Clique em Criar.
Para criar um grupo de perfis de segurança, use o
comando gcloud network-security security-profile-groups create:
gcloud network-security security-profile-groups \ createNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --projectPROJECT_ID \ --threat-prevention-profileSECURITY_PROFILE_URL \ --descriptionDESCRIPTION
Substitua:
.NAME: o nome do grupo de perfis de segurança; é possível especificar o nome como uma string ou um identificador de URL exclusivo.ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, será possível omitir a sinalizaçãoorganization.LOCATION: a localização do grupo de perfis de segurança.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, omita a sinalizaçãolocation.PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no grupo de perfis de segurança.SECURITY_PROFILE_URL: um identificador de URL exclusivo do perfil de segurança.DESCRIPTION: uma descrição opcional para o grupo de perfis de segurança.
Visualizar grupo do perfil de segurança
É possível visualizar os detalhes de um grupo de perfis de segurança específico em uma organização.
Permissões exigidas para a tarefa
Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.
Permissões
networksecurity.securityProfileGroups.get
Papéis
compute.networkAdmincompute.networkUsercompute.networkViewer
No Console do Google Cloud, acesse a página Perfis de segurança.
Selecione a guia Grupos de perfis de segurança. A guia mostra uma lista de grupos de perfis de segurança configurados.
Selecione o grupo de perfis de segurança para visualizar os detalhes.
Para ver os detalhes de um grupo de perfis de segurança, use o
comando gcloud network-security security-profile-groups describe:
gcloud network-security security-profile-groups \
describe NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--project PROJECT_ID
Substitua:
NAME: o nome do grupo de perfis de segurança; é possível especificar o nome como uma string ou um identificador de URL exclusivo.ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, será possível omitir a sinalizaçãoorganization.LOCATION: a localização do grupo de perfis de segurança.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, omita a sinalizaçãolocation.PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no grupo de perfis de segurança.
Listar grupos de perfis de segurança
Você pode listar todos os grupos do perfil de segurança em uma organização.
Permissões exigidas para a tarefa
Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.
Permissões
networksecurity.securityProfileGroups.list
Papéis
compute.networkAdmincompute.networkUsercompute.networkViewer
No Console do Google Cloud, acesse a página Perfis de segurança.
Selecione a guia Grupos de perfis de segurança. A guia mostra uma lista de grupos de perfis de segurança configurados.
Para listar grupos de perfis de segurança, use o
comando gcloud network-security security-profile-groups list:
gcloud network-security security-profile-groups list \ --organizationORGANIZATION_ID \ --locationLOCATION \ --billing-projectPROJECT_ID
Substitua:
ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, será possível omitir a sinalizaçãoorganization.LOCATION: a localização do grupo de perfis de segurança.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, omita a sinalizaçãolocation.PROJECT_ID: um ID do projeto opcional a ser usado para o faturamento do grupo de perfis de segurança.
Atualizar um grupo de perfis de segurança
Você pode atualizar o nome do perfil de segurança indicado em um grupo de perfis de segurança.
Permissões exigidas para a tarefa
Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.
Permissões
networksecurity.securityProfileGroups.update
Papéis
compute.networkAdmin
No Console do Google Cloud, acesse a página Perfis de segurança.
Selecione a guia Grupos de perfis de segurança. A guia mostra uma lista de grupos de perfis de segurança configurados.
Selecione o grupo de perfis de segurança e clique em Editar.
Atualize os campos obrigatórios e clique em Salvar.
Para atualizar um grupo de perfis de segurança, use o
comando gcloud network-security security-profile-groups update:
gcloud network-security security-profile-groups \ updateNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --threat-prevention-profileSECURITY_PROFILE_URL \ --projectPROJECT_ID \ --descriptionDESCRIPTION
Substitua:
NAME: o nome do grupo de perfis de segurança que você quer atualizar. É possível especificar o nome como uma string ou um identificador de URL exclusivo.ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, será possível omitir a sinalizaçãoorganization.LOCATION: a localização do grupo de perfis de segurança.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, omita a sinalizaçãolocation.SECURITY_PROFILE_URL: um identificador de URL exclusivo do perfil de segurança.PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no grupo de perfis de segurança.DESCRIPTION: uma descrição opcional para o grupo de perfis de segurança.
Excluir um grupo de perfis de segurança
É possível excluir um grupo de perfis de segurança especificando o nome, o local e a organização dele. No entanto, se um perfil de segurança for referenciado por uma política de firewall, esse grupo não poderá ser excluído.
Permissões exigidas para a tarefa
Para executar esta tarefa, é preciso que o recurso tenha as permissões OU um dos papéis do IAM a seguir na sua organização.
Permissões
networksecurity.securityProfileGroups.delete
Papéis
-
compute.networkAdmin
No Console do Google Cloud, acesse a página Perfis de segurança.
Selecione a guia Grupos de perfis de segurança. A guia mostra uma lista de grupos de perfis de segurança configurados.
Selecione o grupo de perfis de segurança e clique em Excluir.
Clique em Excluir novamente para confirmar.
Para excluir um grupo de perfis de segurança, use o
comando gcloud network-security security-profile-groups delete:
gcloud network-security security-profile-groups \ deleteNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --billing-projectPROJECT_ID
Substitua:
NAME: o nome do grupo de perfis de segurança que você quer excluir. É possível especificar o nome como uma string ou um identificador de URL exclusivo.ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, será possível omitir a sinalizaçãoorganization.LOCATION: a localização do grupo de perfis de segurança.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a sinalizaçãoname, omita a sinalizaçãolocation.PROJECT_ID: um ID do projeto opcional a ser usado para cotas e restrições de acesso no grupo de perfis de segurança.