Mengonfigurasi kebijakan keamanan Cloud Armor

Gunakan petunjuk ini untuk membuat kebijakan keamanan Google Cloud Armor guna memfilter traffic masuk ke aplikasi Anda. Untuk mengetahui informasi konseptual tentang kebijakan keamanan, lihat ringkasan kebijakan keamanan Cloud Armor.

Sebelum memulai

Sebelum mengonfigurasi kebijakan keamanan, lakukan hal berikut:

  • Pastikan Anda memahami konsep Load Balancer Aplikasi eksternal.

  • Periksa layanan backend yang ada untuk menentukan layanan yang belum memiliki kebijakan keamanan terlampir. Layanan backend ini dan backend terkaitnya tidak dilindungi oleh Cloud Armor. Untuk menambahkan perlindungan yang disediakan Cloud Armor, gunakan petunjuk dalam dokumen ini untuk melampirkan kebijakan keamanan yang baru dibuat atau yang sudah ada ke layanan backend.

Menyiapkan izin IAM untuk kebijakan keamanan Cloud Armor

Operasi berikut memerlukan peran Compute Security Admin (roles/compute.securityAdmin) Identity and Access Management (IAM):

  • Mengonfigurasi, mengubah, mengupdate, dan menghapus kebijakan keamanan Cloud Armor
  • Menggunakan metode API berikut:
    • SecurityPolicies insert
    • SecurityPolicies delete
    • SecurityPolicies patch
    • SecurityPolicies addRule
    • SecurityPolicies patchRule
    • SecurityPolicies removeRule

Pengguna dengan peran Admin Jaringan Compute (roles/compute.networkAdmin) dapat melakukan operasi berikut:

  • Menetapkan kebijakan keamanan Cloud Armor untuk layanan backend
  • Menggunakan metode API berikut:
    • BackendServices setSecurityPolicy
    • BackendServices list (gcloud saja)

Pengguna dengan peran Admin Keamanan (roles/iam.securityAdmin) dan peran Admin Jaringan Compute dapat melihat kebijakan keamanan Cloud Armor menggunakan metode API SecurityPolicies get, list, dan getRule.

Menyiapkan izin IAM untuk peran kustom

Tabel berikut mencantumkan izin dasar peran IAM dan metode API terkait.

Izin IAM Metode API
compute.securityPolicies.create SecurityPolicies insert
compute.securityPolicies.delete SecurityPolicies delete
compute.securityPolicies.get SecurityPolicies get
SecurityPolicies getRule
compute.securityPolicies.list SecurityPolicies list
compute.securityPolicies.use BackendServices setSecurityPolicy
compute.securityPolicies.update SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
compute.backendServices.setSecurityPolicy BackendServices setSecurityPolicy

Membuat kebijakan keamanan

Anda dapat mengonfigurasi kebijakan keamanan, aturan, dan ekspresi Cloud Armor menggunakan Trusted Cloud konsol, Google Cloud CLI, atau REST API. Saat Anda menggunakan gcloud CLI untuk membuat kebijakan keamanan, gunakan flag --type untuk menentukan apakah kebijakan keamanan adalah kebijakan keamanan backend atau kebijakan keamanan edge.

Jika Anda belum memahami konfigurasi kebijakan keamanan, sebaiknya lihat contoh kebijakan keamanan.

Contoh ekspresi

Berikut adalah contoh ekspresi. Untuk mengetahui informasi selengkapnya tentang ekspresi, lihat Referensi bahasa aturan kustom Cloud Armor.

Jika Anda mengonfigurasi aturan atau ekspresi yang menggunakan kode negara atau wilayah ISO 3166-1 alpha 2, Cloud Armor memperlakukan setiap kode secara terpisah. Aturan dan ekspresi Cloud Armor secara eksplisit menggunakan kode wilayah tersebut untuk mengizinkan atau menolak permintaan.

  • Ekspresi berikut cocok dengan permintaan dari alamat IP 1.2.3.4 dan berisi string example di header user-agent:

    inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')

    Atau, Anda dapat mencocokkan rentang alamat IP header alamat IP klien kustom dengan menggunakan atribut origin.user_ip:

    inIpRange(origin.user_ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')

  • Ekspresi berikut cocok dengan permintaan yang memiliki cookie dengan nilai tertentu:

    has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')

  • Ekspresi berikut cocok dengan permintaan dari wilayah AU:

    origin.region_code == 'AU'

  • Ekspresi berikut mencocokkan permintaan dari wilayah AU yang tidak berada dalam rentang IP yang ditentukan:

    origin.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')

  • Ekspresi berikut cocok dengan permintaan dengan jalur variabel bernomor ke file tertentu jika URI cocok dengan ekspresi reguler:

    request.path.matches('/path/[0-9]+/target_file.html')

  • Ekspresi berikut cocok dengan permintaan jika nilai header user-id yang didekode Base64 berisi nilai tertentu:

    has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')

  • Ekspresi berikut menggunakan set ekspresi yang telah dikonfigurasi sebelumnya untuk mencocokkan serangan SQLi:

    evaluatePreconfiguredWaf('sqli-stable')

Mengelola kebijakan keamanan

Gunakan bagian berikut untuk mencantumkan kebijakan keamanan di project Anda, memperbarui kebijakan keamanan, menghapus kebijakan keamanan, atau menguji kebijakan keamanan.

Membuat daftar kebijakan keamanan

Gunakan petunjuk ini untuk mencantumkan semua kebijakan keamanan Cloud Armor dalam project saat ini atau dalam project yang Anda tentukan.

Konsol

  1. Di Trusted Cloud konsol, buka halaman Cloud Armor policies.

    Buka kebijakan Cloud Armor

  2. Untuk melihat kebijakan tertentu, di halaman Kebijakan keamanan, dalam daftar kebijakan, klik namanya.

gcloud 

gcloud compute security-policies list

Contoh:

gcloud compute security-policies list

Output: 

NAME: my-policy
REGION: us-central1

Untuk informasi selengkapnya, lihat gcloud compute security-policies list.

Memperbarui kebijakan keamanan

Gunakan petunjuk ini untuk memperbarui kebijakan keamanan Cloud Armor. Misalnya, Anda dapat mengubah deskripsi kebijakan, mengubah perilaku aturan default, mengubah layanan backend target, atau menambahkan aturan baru.

Konsol

  1. Di Trusted Cloud konsol, buka halaman Cloud Armor policies.

    Buka kebijakan Cloud Armor

  2. Untuk memperbarui kebijakan tertentu, di halaman Kebijakan keamanan, dalam daftar kebijakan, klik Menu untuk kebijakan yang ingin Anda perbarui.

    • Untuk memperbarui deskripsi kebijakan tindakan aturan default, pilih Edit, lakukan perubahan, lalu klik Perbarui.
    • Untuk menambahkan aturan, pilih Tambahkan aturan, lalu ikuti petunjuk di Menambahkan aturan ke kebijakan keamanan.
    • Untuk mengubah layanan backend target untuk kebijakan, pilih Terapkan kebijakan ke target, klik Tambahkan Target, pilih target, lalu klik Tambahkan.

gcloud

Untuk memperbarui kebijakan keamanan, gunakan petunjuk Google Cloud CLI berikut:

Menghapus beberapa kebijakan keamanan

Gunakan petunjuk ini untuk menghapus kebijakan keamanan Cloud Armor. Anda harus menghapus semua layanan backend dari kebijakan sebelum Anda dapat menghapusnya.

Konsol

  1. Di Trusted Cloud konsol, buka halaman Cloud Armor policies.

    Buka kebijakan Cloud Armor

  2. Di halaman Kebijakan keamanan, centang kotak di samping nama kebijakan keamanan yang ingin Anda hapus.

  3. Di pojok kanan atas halaman, klik Hapus.

gcloud

Menggunakan gcloud compute security-policies delete NAME. Ganti NAME dengan nama kebijakan keamanan:

gcloud compute security-policies delete NAME

Menguji kebijakan keamanan

Sebaiknya Anda men-deploy semua aturan baru dalam mode pratinjau, lalu periksa log permintaan, untuk memverifikasi bahwa kebijakan dan aturan berperilaku seperti yang diharapkan.

Mengelola aturan kebijakan keamanan

Gunakan bagian berikut untuk mencantumkan aturan kebijakan keamanan, menambahkan aturan, memperbarui aturan, atau menghapus aturan.

Mencantumkan aturan dalam kebijakan keamanan

Gunakan petunjuk ini untuk mencantumkan aturan dalam kebijakan keamanan Cloud Armor.

Konsol

  1. Di Trusted Cloud konsol, buka halaman Cloud Armor policies.

    Buka kebijakan Cloud Armor

  2. Di halaman Kebijakan keamanan, klik nama kebijakan keamanan. Halaman Detail kebijakan akan ditampilkan, dan aturan kebijakan dicantumkan di tab Aturan di tengah halaman.

gcloud

Gunakan perintah gcloud berikut untuk mencantumkan semua aturan dalam satu kebijakan keamanan beserta deskripsi kebijakan:

gcloud compute security-policies describe NAME \

Gunakan perintah gcloud berikut untuk mencantumkan semua aturan dalam satu kebijakan keamanan di region tertentu beserta deskripsi kebijakan:

gcloud compute security-policies describe NAME \
  --region REGION

Gunakan perintah gcloud berikut untuk mendeskripsikan aturan dengan prioritas yang ditentukan dalam kebijakan keamanan yang ditentukan:

gcloud compute security-policies rules describe PRIORITY \
    --security-policy POLICY_NAME

Misalnya, perintah berikut menjelaskan aturan dengan prioritas 1000 dalam kebijakan keamanan my-policy:

gcloud compute security-policies rules describe 1000 \
    --security-policy my-policy

Output: 

action: deny(403)
description: block traffic from 192.0.2.0/24 and 198.51.100.0/24
kind: compute#securityPolicyRule
match:
  srcIpRanges:
  - '192.0.2.0/24'
  - '198.51.100.0/24'
preview: false
priority: 1000

Untuk informasi selengkapnya, lihat gcloud compute security-policies describe.

Menambahkan aturan ke kebijakan keamanan

Gunakan petunjuk ini untuk menambahkan aturan ke kebijakan keamanan Cloud Armor.

Konsol

  1. Di Trusted Cloud konsol, buka halaman Cloud Armor policies.

    Buka kebijakan Cloud Armor

  2. Di halaman Kebijakan keamanan, klik nama kebijakan keamanan. Halaman Policy details akan ditampilkan.

  3. Di bagian tengah halaman, klik tab Aturan.

  4. Klik Tambahkan Aturan.

  5. Opsional: Masukkan deskripsi aturan.

  6. Pilih mode:

    • Mode dasar: mengizinkan atau menolak traffic berdasarkan alamat IP atau rentang IP.
    • Mode lanjutan: mengizinkan atau menolak traffic berdasarkan ekspresi aturan.

  7. Di kolom Cocokkan, tentukan kondisi saat aturan berlaku:

    • Mode dasar: masukkan dari satu (1) hingga 10 rentang alamat IP yang akan dicocokkan dalam aturan. Anda dapat menambahkan maksimal 10 rentang alamat IP. Untuk batas, lihat Kuota dan batas Cloud Armor.

    • Mode lanjutan: masukkan ekspresi atau sub-ekspresi untuk dievaluasi terhadap permintaan masuk. Untuk mengetahui informasi tentang cara menulis ekspresi dan membaca contoh berikut, lihat referensi bahasa aturan kustom.

      • Ekspresi berikut cocok dengan permintaan dari alamat IP 1.2.3.4 dan berisi string example di header user-agent:

        inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')

      • Ekspresi berikut cocok dengan permintaan yang memiliki cookie dengan nilai tertentu:

        has(request.headers['cookie']) && request.headers['cookie'].contains('cookie_name=cookie_value')

      • Ekspresi berikut cocok dengan permintaan dari wilayah AU:

        origin.region_code == 'AU'

      • Ekspresi berikut mencocokkan permintaan dari wilayah AU yang tidak berada dalam rentang IP yang ditentukan:

        origin.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')

      • Ekspresi berikut cocok dengan permintaan jika URI cocok dengan ekspresi reguler:

        request.path.matches('/example_path/')

      • Ekspresi berikut cocok dengan permintaan jika nilai header user-id yang didekode Base64 berisi nilai tertentu:

        has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')

      • Ekspresi berikut menggunakan set ekspresi yang telah dikonfigurasi sebelumnya untuk mencocokkan serangan SQLi:

        evaluatePreconfiguredWaf('sqli-stable')

  8. Untuk Tindakan, pilih Izinkan atau Tolak.

  9. Jika Anda mengonfigurasi aturan penolakan, pilih pesan Status penolakan.

  10. Jika Anda ingin mengaktifkan mode pratinjau untuk aturan, centang kotak Aktifkan.

  11. Di kolom Priority, masukkan bilangan bulat positif.

  12. Klik Tambahkan.

gcloud

Gunakan perintah gcloud compute security-policies rules create PRIORITY. Ganti PRIORITY dengan prioritas aturan dalam kebijakan:

gcloud compute security-policies rules create PRIORITY \
    --security-policy POLICY_NAME \
    --description DESCRIPTION \
    --src-ip-ranges IP_RANGES | --expression EXPRESSION \
    --action=[ allow | deny-403 | deny-404 | deny-502 ] \
    --preview

Misalnya, perintah berikut menambahkan aturan untuk memblokir traffic dari rentang alamat IP 192.0.2.0/24 dan 198.51.100.0/24. Aturan memiliki prioritas 1000 dan merupakan aturan dalam kebijakan yang disebut my-policy:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --description "block traffic from 192.0.2.0/24 and 198.51.100.0/24" \
    --src-ip-ranges "192.0.2.0/24","198.51.100.0/24" \
    --action "deny-403"

Gunakan flag --expression untuk menentukan kondisi dalam referensi bahasa aturan kustom. Perintah berikut menambahkan aturan untuk mengizinkan traffic dari alamat IP 1.2.3.4 dan berisi string example di header agen pengguna:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "inIpRange(origin.ip, '1.2.3.4/32') && has(request.headers['user-agent']) && request.headers['user-agent'].contains('example')" \
    --action allow \
    --description "Block User-Agent 'example'"

Perintah berikut menambahkan aturan untuk memblokir permintaan jika cookie permintaan berisi nilai tertentu:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['cookie']) && request.headers['cookie'].contains('80=BLAH')" \
    --action deny-403 \
    --description "Cookie Block"

Perintah berikut menambahkan aturan untuk memblokir permintaan dari region AU:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == 'AU'" \
    --action deny-403 \
    --description "AU block"

Perintah berikut menambahkan aturan untuk memblokir permintaan dari region AU yang tidak berada dalam rentang IP yang ditentukan:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "origin.region_code == "AU" && !inIpRange(origin.ip, '1.2.3.0/24')" \
    --action deny-403 \
    --description "country and IP block"

Perintah berikut menambahkan aturan untuk memblokir permintaan dengan URI yang cocok dengan ekspresi reguler:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "request.path.matches('/example_path/')" \
    --action deny-502 \
    --description "regex block"

Perintah berikut menambahkan aturan untuk memblokir permintaan jika nilai yang didekode Base64 dari header user-id berisi nilai tertentu:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "has(request.headers['user-id']) && request.headers['user-id'].base64Decode().contains('myValue')" \
    --action deny-403 \
    --description "country and IP block"

Perintah berikut menambahkan aturan yang menggunakan set ekspresi yang telah dikonfigurasi sebelumnya untuk memitigasi serangan SQLi:

gcloud compute security-policies rules create 1000 \
    --security-policy my-policy \
    --expression "evaluatePreconfiguredWaf('sqli-stable')" \
    --action deny-403

Memperbarui satu aturan dalam kebijakan keamanan

Gunakan petunjuk ini untuk memperbarui satu aturan dalam kebijakan keamanan Cloud Armor. Untuk memperbarui beberapa aturan secara atomik, lihat Memperbarui beberapa aturan secara atomik dalam kebijakan keamanan.

Konsol

  1. Di Trusted Cloud konsol, buka halaman Cloud Armor policies.

    Buka kebijakan Cloud Armor

  2. Di halaman Kebijakan keamanan, klik nama kebijakan keamanan. Halaman Policy details akan ditampilkan.

  3. Di bagian tengah halaman, klik tab Aturan.

  4. Di samping aturan yang ingin diperbarui, klik Edit. Halaman Edit aturan akan ditampilkan.

  5. Lakukan perubahan, lalu klik Perbarui.

gcloud

Gunakan perintah ini untuk memperbarui aturan dengan prioritas yang ditentukan dalam kebijakan keamanan yang ditetapkan. Anda hanya dapat mengupdate satu kebijakan keamanan dalam satu waktu menggunakan perintah ini:

gcloud compute security-policies rules update PRIORITY [ \
    --security-policy POLICY_NAME  \
    --description DESCRIPTION  \
    --src-ip-ranges IP_RANGES  | --expression EXPRESSION \
    --action=[ allow | deny-403 | deny-404 | deny-502 ]  \
    --preview
  ]

Misalnya, perintah berikut memperbarui aturan dengan prioritas 1111 untuk mengizinkan traffic dari rentang alamat IP 192.0.2.0/24:

gcloud compute security-policies rules update 1111 \
    --security-policy my-policy \
    --description "allow traffic from 192.0.2.0/24" \
    --src-ip-ranges "192.0.2.0/24" \
    --action "allow"

Untuk informasi selengkapnya tentang perintah ini, lihat gcloud compute security-policies rules update.

Untuk memperbarui prioritas aturan, Anda harus menggunakan REST API. Untuk mengetahui informasi selengkapnya, lihat securityPolicies.patchRule.

Memperbarui beberapa aturan secara atomik dalam kebijakan keamanan

Pembaruan atomik menerapkan perubahan pada beberapa aturan dalam satu pembaruan. Jika Anda memperbarui aturan satu per satu, Anda mungkin melihat beberapa perilaku yang tidak diinginkan karena aturan lama dan baru mungkin bekerja bersama untuk jangka waktu yang singkat.

Untuk memperbarui beberapa aturan secara atomik, ekspor kebijakan keamanan saat ini ke file JSON atau YAML, lalu ubah. Gunakan file yang telah diubah untuk membuat kebijakan keamanan baru, lalu alihkan kebijakan keamanan untuk layanan backend yang relevan.

gcloud

  1. Ekspor kebijakan yang akan diupdate, seperti yang ditunjukkan dalam contoh berikut:

    gcloud compute security-policies export my-policy \
    --file-name my-file \
    --file-format yaml

    Kebijakan yang diekspor akan terlihat mirip dengan contoh berikut:

    description: my description
fingerprint: PWfLGDWQDLY=
id: '123'
name: my-policy
rules:
- action: deny(404)
  description: my-rule-1
  match:
    expr:
      expression: evaluatePreconfiguredWaf('xss-stable')
    versionedExpr: SRC_IPS_V1
  preview: false
  priority: 1
- action: allow
  description: my-rule-2
  match:
    config:
      srcIpRanges:
      - '1.2.3.4'
    versionedExpr: SRC_IPS_V1
  preview: false
  priority: 2
- action: deny
  description: default rule
  kind: compute#securityPolicyRule
  match:
    config:
      srcIpRanges:
      - '*'
    versionedExpr: SRC_IPS_V1
  preview: false
  priority: 2147483647
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy

  2. Gunakan editor teks apa pun untuk mengubah kebijakan. Misalnya, Anda dapat mengubah prioritas aturan yang ada dan menambahkan aturan baru:

    description: my description
fingerprint: PWfLGDWQDLY=
id: '123'
name: my-policy
rules:
- action: deny(404)
  description: my-rule-1
  match:
    expr:
      expression: evaluatePreconfiguredWaf('xss-stable')
    versionedExpr: SRC_IPS_V1
  preview: false
  priority: 1
- action: allow
  description: my-new-rule
  match:
    config:
      srcIpRanges:
      - '1.2.3.1'
    versionedExpr: SRC_IPS_V1
  preview: false
  priority: 10
- action: allow
  description: my-rule-2
  match:
    config:
      srcIpRanges:
      - '1.2.3.4'
    versionedExpr: SRC_IPS_V1
  preview: false
  priority: 11
- action: deny
  description: default rule
  kind: compute#securityPolicyRule
  match:
    config:
      srcIpRanges:
      - '*'
    versionedExpr: SRC_IPS_V1
  preview: false
  priority: 2147483647
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/securityPolicies/my-policy

  3. Buat kebijakan keamanan Cloud Armor baru dan tentukan nama file dan format yang diubah, seperti yang ditunjukkan dalam contoh berikut:

    gcloud compute security-policies create new-policy \
    --file-name modified-policy \
    --file-format yaml

  4. Hapus kebijakan keamanan lama dari layanan backend yang relevan, seperti yang ditunjukkan dalam contoh berikut:

    gcloud compute backend-services update my-backend \
    --security-policy ""

  5. Tambahkan kebijakan keamanan baru ke layanan backend, seperti yang ditunjukkan dalam contoh berikut:

    gcloud compute backend-services update my-backend \
    --security-policy new-policy

  6. Jika kebijakan lama tidak digunakan, hapus kebijakan tersebut:

    gcloud compute security-policies delete my-policy

Menghapus aturan dari kebijakan keamanan

Gunakan petunjuk ini untuk menghapus aturan dari kebijakan keamanan Cloud Armor.

Konsol

  1. Di Trusted Cloud konsol, buka halaman Kebijakan Google Cloud Armor.

    Buka kebijakan Google Cloud Armor

  2. Klik nama kebijakan keamanan. Halaman Policy details akan ditampilkan.

  3. Di bagian tengah halaman, pada tab Aturan, centang kotak di samping aturan yang ingin Anda hapus.

  4. Klik Delete.

gcloud

Gunakan perintah ini untuk menghapus aturan dengan prioritas yang ditentukan dari kebijakan keamanan yang ditetapkan. Anda hanya dapat mengubah satu kebijakan keamanan dalam satu waktu, tetapi Anda dapat menghapus beberapa aturan sekaligus:

gcloud compute security-policies rules delete PRIORITY [...] [
    --security-policy POLICY_NAME \
  ]

Contoh:

gcloud compute security-policies rules delete 1000 \
    --security-policy my-policy

Melampirkan dan menghapus kebijakan keamanan

Gunakan bagian berikut untuk melampirkan dan menghapus kebijakan keamanan dari layanan backend dan bucket backend.

Melampirkan kebijakan keamanan ke layanan backend

Gunakan petunjuk ini untuk melampirkan kebijakan keamanan Cloud Armor ke layanan backend. Kebijakan keamanan dapat dilampirkan ke lebih dari satu layanan backend, tetapi layanan backend hanya dapat memiliki satu kebijakan keamanan dari setiap jenis yang dilampirkan.

Konsol

  1. Di Trusted Cloud konsol, buka halaman Cloud Armor policies.

    Buka kebijakan Cloud Armor

  2. Di halaman Kebijakan keamanan, klik nama kebijakan keamanan. Halaman Policy details akan ditampilkan.

  3. Di bagian tengah halaman, klik tab Target.

  4. Klik Terapkan kebijakan ke target baru.

  5. Klik Add Target.

  6. Di daftar Target, pilih target, lalu klik Tambahkan.

gcloud

Saat Anda melampirkan kebijakan keamanan backend ke layanan backend, gunakan perintah gcloud compute backend-services dan tanda --security-policy:

gcloud compute backend-services update my-backend \
    --security-policy my-policy

Saat Anda melampirkan kebijakan keamanan edge ke layanan backend, gunakan perintah gcloud compute backend-services dan flag --edge-security-policy:

gcloud compute backend-services update my-backend \
    --edge-security-policy my-policy

Menghapus kebijakan keamanan dari layanan backend

Gunakan petunjuk ini untuk menghapus kebijakan keamanan backend Cloud Armor atau kebijakan keamanan edge dari layanan backend.

Konsol

  1. Di Trusted Cloud konsol, buka halaman Cloud Armor policies.

    Buka kebijakan Cloud Armor

  2. Di halaman Kebijakan keamanan, klik nama kebijakan keamanan. Halaman Policy details akan ditampilkan.

  3. Di bagian tengah halaman, klik tab Target.

  4. Pilih layanan backend target tempat Anda menghapus kebijakan.

  5. Klik Hapus.

  6. Pada pesan Hapus target, klik Hapus.

gcloud

Saat Anda menghapus kebijakan keamanan backend, gunakan perintah gcloud compute backend-services dan flag --security-policy:

gcloud compute backend-services update my-backend \
    --security-policy ""

Saat Anda menghapus kebijakan keamanan edge, gunakan perintah gcloud compute backend-services dan tanda --edge-security-policy:

gcloud compute backend-services update my-backend \
    --edge-security-policy ""