Les tags Resource Manager vous permettent de contrôler l'accès à vos ressources Google Cloud. Les tags Resource Manager vous permettent d'organiser vos ressources Google Cloud et de définir des règles d'autorisation ou de refus de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Vous pouvez utiliser des tags Resource Manager pour ajouter des tags à chaque instance de machine virtuelle (VM) par segment et type de service. Les tags Resource Manager vous permettent d'identifier de manière unique les hôtes lorsque vous créez des règles de proxy Web sécurisé.
Cette page vous explique comment :
- Créez une instance de proxy Web sécurisé avec une règle vide.
- Créer et appliquer des tags Resource Manager aux instances de VM.
- Utilisez les tags Resource Manager pour créer une règle de proxy Web sécurisé.
- Créez une instance de proxy Web sécurisé.
- Testez la connectivité à partir de vos VM.
Avant de commencer
Suivez la procédure de configuration initiale.
Demandez à un administrateur de l'organisation de vous attribuer le rôle nécessaire pour créer et mettre à jour des tags.
Vérifiez que la Google Cloud CLI version 406.0.0 ou ultérieure est installée:
gcloud version | head -n1Si une version antérieure de gcloud CLI est installée, mettez-la à jour:
gcloud components update --version=406.0.0
Créer une instance de proxy Web sécurisé avec une règle vide
Pour créer une instance de proxy Web sécurisé, commencez par créer une stratégie de sécurité vide, puis créez un proxy Web.
Créer une stratégie de sécurité vide
Console
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur l'onglet Règles.
Cliquez sur Create a policy (Créer une règle).
Saisissez un nom pour la règle que vous souhaitez créer, par exemple
myswppolicy.Saisissez une description de la règle, par exemple
My new swp policy.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle.
Cliquez sur Créer.
Cloud Shell
Utilisez l'éditeur de texte de votre choix pour créer le fichier
POLICY_FILE.yaml. RemplacezPOLICY_FILEpar le nom de fichier souhaité pour le fichier de stratégie.Ajoutez le code suivant au fichier YAML que vous avez créé:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTIONRemplacez les éléments suivants :
PROJECT_NAME: nom de votre projetREGION: région à laquelle cette règle s'appliquePOLICY_NAME: nom de la règle que vous créez.POLICY_DESCRIPTION: description de la règle que vous créez
Importez la stratégie de sécurité:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Créer un proxy Web
Console
Dans Google Cloud Console, accédez à la page Sécurité du réseau.
Cliquez sur Proxy Web sécurisé.
Cliquez sur Configurer un proxy Web.
Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple
myswp.Saisissez une description du proxy Web, par exemple
My new swp.Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.
Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.
Dans la liste Sous-réseau, sélectionnez le sous-réseau sur lequel vous souhaitez créer le proxy Web.
Saisissez l'adresse IP du proxy Web.
Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.
Dans la liste Policy (Règle), sélectionnez la règle que vous avez créée pour associer le proxy Web.
Cliquez sur Créer.
Cloud Shell
Utilisez l'éditeur de texte de votre choix pour créer le fichier
GATEWAY_FILE.yaml. RemplacezGATEWAY_FILEpar le nom du fichier proxy Web que vous souhaitez utiliser.Ajoutez le code suivant au fichier YAML que vous avez créé:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescopeRemplacez les éléments suivants :
GATEWAY_NAME: nom de cette instance.GATEWAY_PORT_NUMBERS: liste des numéros de port de cette passerelle, par exemple[80,443]CERTIFICATE_URLS: liste des URL de certificat SSLSUBNET_NAME: nom du sous-réseau qui contientGATEWAY_IP_ADDRESSGATEWAY_IP_ADDRESS: liste facultative d'adresses IP pour vos instances de proxy Web sécurisé dans les sous-réseaux de proxy créés précédemment lors des étapes de configuration initialeSi vous choisissez de ne pas répertorier les adresses IP, omettez le champ pour que le proxy Web sélectionne une adresse IP à votre place.
Créez une instance de proxy Web sécurisé:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Tester la connectivité
Pour tester la connectivité, utilisez la commande curl à partir de n'importe quelle VM de votre réseau cloud privé virtuel (VPC) :
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Une erreur 403 Forbidden est attendue.
Créer et associer des tags Resource Manager
Pour créer et associer des tags Resource Manager, procédez comme suit:
Créez les clés et les valeurs de tag.
Lorsque vous créez votre balise, désignez-la avec l'objectif
GCE_FIREWALL. Les fonctionnalités de mise en réseau Google Cloud, y compris le proxy Web sécurisé, nécessitent l'objectifGCE_FIREWALLpour appliquer le tag. Toutefois, vous pouvez l'utiliser pour d'autres actions.
Créer des règles de proxy Web sécurisé
Pour créer des règles de proxy Web sécurisé, procédez comme suit:
Utilisez l'éditeur de texte de votre choix pour créer un fichier
RULE_FILE.yaml. RemplacezRULE_FILEpar le nom de fichier souhaité.Pour autoriser l'accès à une URL à partir du tag souhaité, ajoutez les éléments suivants au fichier YAML:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME description: RULE_DESCRIPTION enabled: true priority: RULE_PRIORITY sessionMatcher: CEL_EXPRESSION basicProfile: ALLOWRemplacez les éléments suivants :
RULE_NAME: nom de cette règleRULE_DESCRIPTION: description de la règle que vous créez.RULE_PRIORITY: priorité de cette règle. Plus le chiffre est faible, plus la priorité est élevée.CEL_EXPRESSION: expression CEL (Common Expression Language)Pour en savoir plus, consultez la documentation de référence sur le langage de mise en correspondance CEL.
Par exemple, pour autoriser l'accès à
example.comà partir du tag souhaité, ajoutez ce qui suit au fichier YAML que vous avez créé poursessionMatcher:sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"Remplacez
TAG_VALUEpar la balise que vous souhaitez autoriser, au formattagValues/1234.Importez les règles que vous avez créées:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --source=RULE_FILE.yaml \ --location=REGION \ --gateway-security-policy=POLICY_NAME
Tester la connectivité
Pour tester la connectivité, exécutez la commande curl à partir de n'importe quelle VM associée au tag TAG_VALUE:
curl -x https://IPv4_ADDRESS:443 http://example.com
--proxy-insecure
Remplacez IPv4_ADDRESS par l'adresse IPv4 de votre instance de proxy Web sécurisé.
Étapes suivantes
- Créer des règles à l'aide d'une liste d'URL
- Attribuer des adresses IP statiques pour le trafic de sortie