Utiliser des tags pour créer des stratégies

Les tags Resource Manager contrôlent l'accès à vos ressources Google Cloud . Les tags Resource Manager vous permettent d'organiser vos ressources Google Cloud et d'autoriser ou de refuser des règles de manière conditionnelle selon qu'une ressource possède un tag spécifique ou non. Vous pouvez utiliser des balises Resource Manager pour taguer chaque instance de machine virtuelle (VM) par segment et type de service. Les tags Resource Manager vous permettent d'identifier de manière unique les hôtes lorsque vous créez des règles de proxy Web sécurisé.

Cette page vous explique comment :

  • Créez une instance de proxy Web sécurisé avec une règle vide.
  • Créez et appliquez des tags Resource Manager aux instances de VM.
  • Utilisez des tags Resource Manager pour créer une stratégie de proxy Web sécurisé.
  • Créez une instance de proxy Web sécurisé.
  • Testez la connectivité à partir de vos VM.

Avant de commencer

Créer une instance de proxy Web sécurisé avec une règle vide

Pour créer une instance de proxy Web sécurisé, créez d'abord une règle de sécurité vide, puis un proxy Web.

Créer une règle de sécurité vide

Console

  1. Dans la Google Cloud console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé.

  3. Cliquez sur l'onglet Règles.

  4. Cliquez sur Create a policy (Créer une règle).

  5. Saisissez un nom pour la stratégie que vous souhaitez créer, par exemple myswppolicy.

  6. Saisissez une description de la stratégie, par exemple My new swp policy.

  7. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer la règle.

  8. Cliquez sur Créer.

Cloud Shell

  1. Utilisez l'éditeur de texte de votre choix pour créer le fichier POLICY_FILE.yaml. Remplacez POLICY_FILE par le nom de fichier souhaité pour le fichier de stratégie.

  2. Ajoutez les éléments suivants au fichier YAML que vous avez créé:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
    description: POLICY_DESCRIPTION
    

    Remplacez les éléments suivants :

    • PROJECT_NAME : nom de votre projet
    • REGION: région à laquelle cette règle s'applique
    • POLICY_NAME: nom de la stratégie que vous créez.
    • POLICY_DESCRIPTION: description de la règle que vous créez
  3. Importez la stratégie de sécurité:

    gcloud network-security gateway-security-policies import POLICY_NAME \
        --source=POLICY_FILE.yaml \
        --location=REGION
    

Créer un proxy Web

Console

  1. Dans la Google Cloud console, accédez à la page Sécurité du réseau.

    Accéder à la page "Sécurité du réseau"

  2. Cliquez sur Proxy Web sécurisé.

  3. Cliquez sur Configurer un proxy Web.

  4. Saisissez un nom pour le proxy Web que vous souhaitez créer, par exemple myswp.

  5. Saisissez une description du proxy Web, par exemple My new swp.

  6. Dans la liste Régions, sélectionnez la région dans laquelle vous souhaitez créer le proxy Web.

  7. Dans la liste Réseau, sélectionnez le réseau sur lequel vous souhaitez créer le proxy Web.

  8. Dans la liste Sous-réseau, sélectionnez le sous-réseau dans lequel vous souhaitez créer le proxy Web.

  9. Saisissez l'adresse IP du proxy Web.

  10. Dans la liste Certificat, sélectionnez le certificat que vous souhaitez utiliser pour créer le proxy Web.

  11. Dans la liste Règle, sélectionnez la règle que vous avez créée pour associer le proxy Web.

  12. Cliquez sur Créer.

Cloud Shell

  1. Utilisez l'éditeur de texte de votre choix pour créer le fichier GATEWAY_FILE.yaml. Remplacez GATEWAY_FILE par le nom de fichier souhaité pour le fichier de proxy Web.

  2. Ajoutez les éléments suivants au fichier YAML que vous avez créé:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
    type: SECURE_WEB_GATEWAY
    ports: [GATEWAY_PORT_NUMBERS]
    certificateUrls: [CERTIFICATE_URLS]
    gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
    network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
    subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
    addresses: [GATEWAY_IP_ADDRESS]
    scope: samplescope
    

    Remplacez les éléments suivants :

    • GATEWAY_NAME: nom de cette instance
    • GATEWAY_PORT_NUMBERS: liste des numéros de port de cette passerelle, par exemple [80,443]
    • CERTIFICATE_URLS: liste des URL de certificats SSL
    • SUBNET_NAME: nom du sous-réseau contenant GATEWAY_IP_ADDRESS

    • GATEWAY_IP_ADDRESS: liste facultative d'adresses IP pour vos instances de proxy Web sécurisé dans les sous-réseaux de proxy créés précédemment lors des étapes de configuration initiale

      Si vous choisissez de ne pas lister d'adresses IP, omettez le champ pour que le proxy Web choisisse une adresse IP à votre place.

  3. Créez une instance de proxy Web sécurisé:

    gcloud network-services gateways import GATEWAY_NAME \
        --source=GATEWAY_FILE.yaml \
        --location=REGION
    

Tester la connectivité

Pour tester la connectivité, utilisez la commande curl à partir de n'importe quelle VM de votre réseau cloud privé virtuel (VPC) :

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Une erreur 403 Forbidden est attendue.

Créer et associer des tags Resource Manager

Pour créer et associer des tags Resource Manager, procédez comme suit:

  1. Créez les clés et les valeurs de tag.

    Lorsque vous créez votre balise, attribuez-lui un objectif GCE_FIREWALL. Les fonctionnalités réseauGoogle Cloud , y compris le proxy Web sécurisé, nécessitent l'objectif GCE_FIREWALL pour appliquer la balise. Toutefois, vous pouvez utiliser la balise pour d'autres actions.

  2. Liez les tags aux instances de VM.

Créer des règles de proxy Web sécurisé

Pour créer des règles de proxy Web sécurisé, procédez comme suit:

  1. Utilisez l'éditeur de texte de votre choix pour créer un fichier RULE_FILE.yaml. Remplacez RULE_FILE par le nom de fichier de votre choix.

  2. Pour autoriser l'accès à une URL à partir de la balise choisie, ajoutez ce qui suit au fichier YAML:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
    description: RULE_DESCRIPTION
    enabled: true
    priority: RULE_PRIORITY
    sessionMatcher: CEL_EXPRESSION
    basicProfile: ALLOW
    

    Remplacez les éléments suivants :

    Par exemple, pour autoriser l'accès à example.com à partir de la balise souhaitée, ajoutez ce qui suit au fichier YAML que vous avez créé pour sessionMatcher:

    sessionMatcher: "source.matchTag('TAG_VALUE') && host() == 'example.com'"
    

    Remplacez TAG_VALUE par la balise que vous souhaitez autoriser, au format tagValues/1234.

  3. Importez les règles que vous avez créées:

    gcloud network-security gateway-security-policies rules import RULE_NAME \
       --source=RULE_FILE.yaml \
       --location=REGION \
       --gateway-security-policy=POLICY_NAME
    

Tester la connectivité

Pour tester la connectivité, utilisez la commande curl à partir de n'importe quelle VM associée à la balise TAG_VALUE:

curl -x https://IPv4_ADDRESS:443 http://example.com 
--proxy-insecure

Remplacez IPv4_ADDRESS par l'adresse IPv4 de votre instance de proxy Web sécurisé.

Étape suivante