Ce guide explique comment utiliser Google Cloud Armor Enterprise. Pour en savoir plus sur le produit, consultez la présentation de Cloud Armor Enterprise.
Autorisations IAM requises
Pour abonner un compte de facturation à Cloud Armor Enterprise ou activer le paramètre de renouvellement automatique de l'abonnement, vous devez être un utilisateur disposant de l'autorisation Identity and Access Management (IAM) billing.accounts.update pour le compte de facturation à abonner.
Pour enregistrer un projet dans l'abonnement Cloud Armor Enterprise, vous devez disposer des autorisations IAM suivantes pour le projet actuellement sélectionné et que vous enregistrez dans Cloud Armor Enterprise :
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.updatecompute.projects.setCloudArmorTier
Pour en savoir plus sur les autorisations de facturation, consultez la page Présentation du contrôle des accès à Cloud Billing.
S'abonner à Cloud Armor Enterprise annuel
Pour vous abonner à Cloud Armor Enterprise annuel et enregistrer le projet en cours, procédez comme suit.
Console
S'abonner à Cloud Armor Enterprise annuel
Dans la console Google Cloud , accédez à la page Niveau de service Cloud Armor. Si votre abonnement est actif, le compte de facturation est déjà abonné.
Cliquez sur S'abonner et s'inscrire dans le volet Cloud Armor Enterprise annuel. Une boîte de dialogue de confirmation s'affiche.
Enregistrer des projets dans Cloud Armor Enterprise
Pour enregistrer des projets dans Cloud Armor Enterprise annuel ou au paiement à l'utilisation, suivez ces étapes. Si votre projet est déjà enregistré, vous pouvez modifier votre niveau d'enregistrement en vous enregistrant au nouveau niveau. Par exemple, si votre projet est enregistré dans Cloud Armor Enterprise annuel, vous pouvez l'enregistrer dans Cloud Armor Enterprise Paygo pour modifier le niveau d'enregistrement.
Console
Enregistrer un projet dans Cloud Armor Enterprise annuel
Dans la console Google Cloud , accédez à la page Niveau de service Cloud Armor.
Dans le volet Cloud Armor Enterprise annuel, cliquez sur S'inscrire.
Enregistrer un projet dans Cloud Armor Enterprise Paygo
Dans la console Google Cloud , accédez à la page Niveau de service Cloud Armor.
Dans le volet Cloud Armor Enterprise Paygo, cliquez sur S'inscrire.
gcloud
Enregistrer un projet dans Cloud Armor Enterprise annuel
Utilisez la commande suivante pour enregistrer un projet dans Cloud Armor Enterprise (abonnement annuel) :
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_ANNUAL
Enregistrer un projet dans Cloud Armor Enterprise Paygo
Utilisez la commande suivante pour enregistrer un projet dans Cloud Armor Enterprise avec paiement à l'utilisation :
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Supprimer un projet de Cloud Armor Enterprise
Avant de supprimer votre projet de Cloud Armor Enterprise, nous vous recommandons de vous familiariser avec la rétrogradation de Cloud Armor Enterprise. Après la désinscription d'un projet de Cloud Armor Enterprise, la prise en compte des modifications peut prendre jusqu'à 12 heures. Vous pouvez continuer à désinscrire (ou à enregistrer) des projets pendant cette période.
Pour désinscrire un projet de Cloud Armor Enterprise, procédez comme suit.
Console
Désenregistrer un projet de Cloud Armor Enterprise annuel
Dans la console Google Cloud , accédez à la page Niveau de service Cloud Armor.
Dans le volet Standard, cliquez sur Enregistrer.
Désinscrire un projet de Cloud Armor Enterprise Paygo
Dans la console Google Cloud , accédez à la page Niveau de service Cloud Armor.
Dans le volet Standard, cliquez sur Enregistrer.
gcloud
Désenregistrer un projet de Cloud Armor Enterprise annuel
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Désinscrire un projet de Cloud Armor Enterprise Paygo
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Afficher vos informations d'enregistrement
Consultez les sections suivantes pour afficher votre niveau d'inscription actuel à Cloud Armor Enterprise ou le nombre de ressources couvertes par votre inscription.
Afficher le niveau d'enregistrement actuel de Cloud Armor Enterprise
Suivez ces instructions pour afficher votre niveau d'abonnement actuel à Cloud Armor Enterprise.
Console
Dans la console Google Cloud , accédez à la page Niveau de service Cloud Armor.
Les niveaux de service Cloud Armor Enterprise disponibles s'affichent, y compris Cloud Armor Enterprise annuel et Cloud Armor Enterprise Paygo. Votre niveau d'enregistrement Cloud Armor Enterprise actuel est mis en surbrillance et l'état "Enregistré" s'affiche dans le champ Projet.
gcloud
Pour afficher votre niveau d'abonnement actuel à Cloud Armor Enterprise, utilisez la commande gcloud suivante :
gcloud compute project-info describe
Afficher le nombre de services de backend et de buckets de backend couverts par une inscription
Chaque projet enregistré dans Cloud Armor Enterprise indique le nombre de services de backend et de buckets backend couverts sur la page Cloud Armor Enterprise. Le nombre affiché correspond au nombre total de services de backend et de buckets de backend couverts par l'enregistrement.
Si le projet est enregistré dans le niveau Standard de Cloud Armor Enterprise (niveau par défaut), ce nombre n'est pas affiché.
Désabonner un compte de facturation de Cloud Armor Enterprise Annual
Un abonnement annuel à Cloud Armor Enterprise est un engagement d'un an renouvelé automatiquement. Pour éviter le renouvellement à la fin de l'échéance d'un an, vous devez désactiver le renouvellement automatique. Une fois le renouvellement automatique désactivé, votre période d'abonnement actuelle d'un an se poursuit jusqu'à la fin. À la fin de la période d'abonnement, votre abonnement Cloud Armor Enterprise n'est pas renouvelé. Si votre projet dispose de stratégies de sécurité hiérarchiques effectives, il est rétrogradé vers Cloud Armor Enterprise Paygo. Dans le cas contraire, tous les projets du compte de facturation enregistrés dans Cloud Armor Enterprise Annual repasseront à Cloud Armor Enterprise Standard.
Pour annuler le renouvellement automatique de Cloud Armor Enterprise (abonnement annuel), procédez comme suit.
Console
Lorsque vous êtes connecté au compte de facturation abonné, dans la consoleGoogle Cloud , accédez à la page Niveau de service Cloud Armor.
Cliquez sur Renouveler automatiquement (désactivé). Votre abonnement Cloud Armor Enterprise n'est pas renouvelé à l'expiration de votre abonnement actuel. Les projets enregistrés dans Cloud Armor Enterprise ne sont alors plus enregistrés. Ils bénéficient toujours de la protection DDoS fournie au niveau Standard de Cloud Armor Enterprise.
Ouvrir une demande d'assistance de gestion des attaques DDoS
Pour impliquer l'assistance de gestion des attaques DDoS, vous devez ouvrir une demande d'assistance via la consoleGoogle Cloud . Pour les clients qui remplissent les critères d'éligibilité, votre demande est transmise à l'équipe de gestion des attaques DDoS de Google Cloud Armor pour qu'elle assure une assistance, un tri et une atténuation potentielle.
Pour ouvrir une demande d'assistance concernant une attaque DDoS, consultez Obtenir de l'aide en cas d'attaque DDoS.
Impliquer la protection des factures contre les attaques DDoS
Pour déposer une demande de protection des factures contre les attaques DDoS, votre projet doit être enregistré dans Cloud Armor Enterprise annuel. Vous devez également préparer les informations suivantes :
- Le compte de facturation associé au projet ciblé
- Le numéro du projet contenant la ressource ciblée
- L'adresse IP Internet de la ressource ciblée
- La date et l'heure auxquelles l'attaque a commencé
- La date et l'heure auxquelles l'attaque s'est terminée
- Les volumes de trafic normaux pour le service concerné
- Les volumes d'attaque du service concerné
Vous pouvez démarrer un chat ou contacter l'assistance pour la facturation via la console Google Cloud . Pour savoir comment contacter l'assistance Cloud Billing, consultez la section Contacter l'assistance Cloud Billing.
Exigences concernant les références multiprojets
Si vous utilisez le référencement de service interprojets et que vous souhaitez profiter de la tarification Cloud Armor Enterprise, les projets de service de frontend et de backend doivent être enregistrés dans Cloud Armor Enterprise Annual.
Attaques qualifiées
Pour les équilibreurs de charge réseau passthrough externes, le transfert de protocole et les adresses IP publiques (VM), une attaque est considérée comme une attaque qualifiée (comme décrit dans les conditions d'utilisation et les limites de Google Cloud Armor) uniquement si la protection DDoS avancée était déjà activée pour la région avec le point de terminaison attaqué au début de l'attaque.
Utiliser Google Threat Intelligence
Pour utiliser Google Threat Intelligence, vous devez configurer une stratégie de sécurité à l'aide de l'expression de correspondance evaluateThreatIntelligence, en spécifiant un nom de flux basé sur la catégorie que vous souhaitez autoriser ou bloquer. Si Google Threat Intelligence bloque une adresse IP valide, vous pouvez l'ajouter à la liste d'exclusion pour autoriser le trafic correspondant.
Résoudre les problèmes liés à Cloud Armor Enterprise
Cette section fournit des informations pour vous aider à résoudre les problèmes liés à Cloud Armor Enterprise.
Vous vous êtes abonné à Cloud Armor Enterprise annuel, mais votre facture continue à être facturée à l'utilisation
Si vous êtes abonné à Cloud Armor Enterprise et que vous êtes toujours facturé à l'utilisation, vérifiez si vous avez enregistré vos projets dans Cloud Armor Enterprise.
Le bouton Subscribe n'est pas disponible
Si vous ne parvenez pas à vous abonner à Cloud Armor Enterprise annuel car le bouton Subscribe n'est pas disponible, procédez comme suit :
- Assurez-vous que l'utilisateur qui tente de s'abonner dispose des autorisations IAM suffisantes :
- L'utilisateur doit disposer des autorisations
billing.accounts.updatepour s'abonner au niveau du compte de facturation. - L'utilisateur doit disposer des autorisations
resourcemanager.projects.createBillingAssignmentetresourcemanager.projects.updatepour pouvoir enregistrer des projets individuels dans le niveau ou en dehors de celui-ci.
- L'utilisateur doit disposer des autorisations
Vous vous êtes désabonné de Google Cloud Armor Enterprise annuel, mais vous avez été automatiquement inscrit à Paygo
Si vous résiliez l'abonnement annuel à Google Cloud Armor Enterprise de votre compte de facturation alors que votre projet comporte des stratégies de sécurité hiérarchiques effectives, votre projet est rétrogradé vers Cloud Armor Enterprise Paygo. En effet, les règles de sécurité hiérarchiques nécessitent une inscription active à Google Cloud Armor Enterprise. Pour vous désinscrire de Paygo, vous devez d'abord supprimer vos stratégies de sécurité hiérarchiques.
Votre projet a été automatiquement enregistré dans Cloud Armor Enterprise
Les projets couverts par une stratégie de sécurité hiérarchique sont automatiquement inscrits au niveau Cloud Armor Enterprise le plus élevé auquel ils sont éligibles. Pour en savoir plus, consultez Comportement de l'inscription et de la facturation de Google Cloud Armor Enterprise.
Écarts de facturation
Si ces conseils de dépannage ne permettent pas de résoudre les problèmes que vous rencontrez, contactez l'équipe d'assistance chargée de la facturationGoogle Cloud .
Étapes suivantes
- Résoudre les problèmes
- Utiliser la documentation de référence sur le langage des règles personnalisées