安全性設定檔群組是安全性設定檔的容器。防火牆政策規則會參照安全性設定檔群組,在網路上啟用第 7 層檢查,例如入侵偵測與防範服務。
本文詳細介紹安全性設定檔群組及其功能。
規格
安全性設定檔群組是機構層級的資源。
您只能在安全性設定檔群組中新增一個 安全性設定檔 (類型為
threat-prevention)。每個安全性設定檔群組都有專屬網址,其中包含下列元素:
- 機構 ID:機構的 ID。
- 位置:安全性設定檔群組的範圍。位置一律設為「
global」。 - 名稱:安全性設定檔群組名稱,格式如下:
- 長度介於 1 至 63 個字元的字串
- 只能包含英數字元或連字號 (-)
- 開頭不得為數字
如要為安全性設定檔群組建構專屬網址 ID,請使用下列格式:
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME舉例來說,機構
2345678432中的global安全性設定檔群組example-security-profile-group具有下列專屬 ID:organization/2345678432/locations/global/securityProfileGroups/example-security-profile-group如要對網路流量執行第 7 層檢查,防火牆政策規則必須包含防火牆端點使用的安全性設定檔群組名稱。
只有在新增動作為
apply_security_profile_group的防火牆政策規則時,安全性設定檔群組才會套用至防火牆政策。您可以在階層式防火牆政策規則和全域網路防火牆政策規則中,設定安全性設定檔群組。防火牆政策規則會套用至虛擬私有雲 (VPC) 網路的連入和連出流量。系統會將相符的流量連同設定的安全性設定檔群組名稱,重新導向至防火牆端點。防火牆端點會使用安全性設定檔群組中指定的安全性設定檔,掃描封包中的威脅並套用已設定的動作。
如要進一步瞭解如何設定威脅防護功能,請參閱「設定入侵偵測和防護服務」。
每個安全性設定檔群組都必須有相關聯的專案 ID。相關聯的專案會用於安全性設定檔群組資源的配額和存取限制。如果您使用
gcloud auth activate-service-account指令驗證服務帳戶,可以將服務帳戶與安全性設定檔群組建立關聯。如要進一步瞭解如何建立設定檔群組,請參閱「建立及管理安全性設定檔群組」。
身分與存取權管理角色
Identity and Access Management (IAM) 角色會控管下列安全性設定檔群組動作:
- 在機構中建立安全性設定檔群組
- 修改或刪除安全性設定檔群組
- 查看安全性設定檔群組的詳細資料
- 查看機構中的安全性設定檔群組清單
- 在防火牆政策規則中使用安全性設定檔群組
下表說明每個步驟所需的角色。
| 能力 | 必要角色 |
|---|---|
| 建立安全性設定檔群組 | 在建立安全性設定檔群組的機構中,具有安全性設定檔管理員角色。 |
| 修改安全性設定檔群組 | 在建立安全性設定檔群組的機構中,具有安全性設定檔管理員角色。 |
| 查看機構中安全性設定檔群組的詳細資料 | 機構的下列任一角色: 安全性設定檔管理員 compute.networkViewer compute.networkUser |
| 查看機構中的所有安全性設定檔群組 | 機構的下列任一角色: 安全性設定檔管理員 compute.networkViewer compute.networkUser |
| 在防火牆政策規則中使用安全性設定檔群組 | 機構的下列任一角色: 安全性設定檔管理員 compute.networkUser |