Un groupe d'adresses contient plusieurs adresses IP, plusieurs plages d'adresses IP au format CIDR, ou les deux. Chaque groupe d'adresses peut être utilisé par plusieurs ressources, telles que les règles des stratégies de pare-feu Cloud NGFW ou les règles des stratégies de sécurité Cloud Armor.
Les modifications apportées à un groupe d'adresses sont automatiquement propagées aux ressources qui font référence à ce groupe. Par exemple, vous pouvez créer un groupe d'adresses contenant un ensemble d'adresses IP approuvées. Pour modifier l'ensemble d'adresses IP approuvées, vous devez mettre à jour le groupe d'adresses. Vos modifications apportées au groupe d'adresses sont automatiquement répercutées dans chaque ressource associée.
Spécifications
Les ressources des groupes d'adresses présentent les caractéristiques suivantes :
- Chaque groupe d'adresses est identifié de manière unique par une URL comprenant les éléments suivants :
- Type de conteneur : détermine le type de groupe d'adresses (
organizationouproject). - ID du conteneur : ID de l'organisation ou du projet.
- Emplacement : indique si le groupe d'adresses est une ressource
globalou régionale (par exempleeurope-west). - Nom : nom du groupe d'adresses au format suivant :
- Chaîne de 1 à 63 caractères.
- Ne comprend que des caractères alphanumériques.
- Ne doit pas commencer par un chiffre.
- Type de conteneur : détermine le type de groupe d'adresses (
Vous pouvez créer un identifiant d'URL unique pour un groupe d'adresses au format suivant :
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Par exemple, un groupe d'adresses
globalexample-address-groupdans le projetmyprojectpossède l'identifiant unique à quatre tuples suivant :projects/myproject/locations/global/addressGroups/example-address-groupChaque groupe d'adresses est associé à un type dont la valeur peut être IPv4 ou IPv6, mais pas les deux. Le type de groupe d'adresses ne peut pas être modifié ultérieurement.
Chaque adresse IP ou plage d'adresses IP d'un groupe d'adresses est appelée élément. Le nombre d'éléments que vous pouvez ajouter à un groupe d'adresses dépend de la capacité de celui-ci. Vous pouvez définir la capacité en éléments lors de la création du groupe d'adresses. Vous ne pourrez pas modifier cette capacité par la suite. La capacité maximale que vous pouvez configurer pour un groupe d'adresses varie en fonction du produit avec lequel vous utilisez le groupe d'adresses.
Vous devez spécifier la capacité et le type lorsque vous créez un groupe d'adresses. De plus, lorsque vous utilisez Cloud Armor, vous devez définir le champ
purposesurCLOUD_ARMOR.Lorsque vous créez un groupe d'adresses dont l'usage n'est pas
CLOUD_ARMOR, sa capacité maximale est de 1 000 adresses IP.
Types de groupes d'adresses
Les groupes d'adresses sont classés en fonction de leur champ d'application. Le champ d'application identifie le niveau auquel le groupe d'adresses s'applique dans la hiérarchie des ressources. Les groupes d'adresses sont classés selon les types suivants :
Un groupe d'adresses peut être au niveau du projet ou au niveau de l'organisation, mais pas les deux.
Groupes d'adresses au niveau du projet
Utilisez des groupes d'adresses au niveau du projet lorsque vous souhaitez définir votre propre liste d'adresses IP à utiliser dans un projet ou un réseau afin de bloquer ou d'autoriser une liste d'adresses IP qui sont susceptibles de changer. Par exemple, si vous souhaitez définir votre propre liste de renseignements sur les menaces et l'ajouter à une règle, créez un groupe d'adresses avec les adresses IP requises.
Le type de conteneur des groupes d'adresses au niveau du projet est toujours défini surproject. Pour en savoir plus sur la création et la modification de groupes d'adresses au niveau du projet, consultez la section Utiliser des groupes d'adresses au niveau du projet.
Groupes d'adresses au niveau de l'organisation
Utilisez des groupes d'adresses au niveau de l'organisation lorsque vous souhaitez définir une liste centralisée d'adresses IP pouvant être utilisées dans des règles de haut niveau pour fournir un contrôle cohérent à l'ensemble de l'organisation et réduire la charge de travail des propriétaires de réseaux et de projets individuels pour la gestion des listes communes, telles que les services approuvés et les adresses IP internes.Le type de conteneur des groupes d'adresses au niveau de l'organisation est toujours défini sur organization. Pour en savoir plus sur la création et la modification de groupes d'adresses au niveau de l'organisation, consultez la section Utiliser des groupes d'adresses au niveau de l'organisation.
Rôles IAM
Pour créer et gérer un groupe d'adresses, vous devez disposer du rôle Administrateur de réseaux Compute (roles/compute.networkAdmin). Vous pouvez également définir un rôle personnalisé avec un ensemble d'autorisations équivalent.
Le tableau suivant fournit la liste des autorisations IAM (Identity and Access Management) requises pour effectuer un ensemble de tâches sur des groupes d'adresses.
| Tâche | Nom de rôle IAM | Autorisations IAM |
|---|---|---|
| Créer et gérer |
Administrateur de réseaux Compute |
networksecurity.addressGroups.* |
| Découvrir et afficher |
Utilisateur de réseau Compute |
networksecurity.addressGroups.list networksecurity.addressGroups.get networksecurity.addressGroups.use |
Pour en savoir plus sur les rôles incluant des autorisations IAM spécifiques, consultez l'index des rôles et autorisations IAM.
Fonctionnement des groupes d'adresses avec les règles de pare-feu
Les groupes d'adresses simplifient la configuration et la maintenance des stratégies de pare-feu. Vous pouvez partager les adresses IP entre les stratégies de pare-feu et définir des stratégies de pare-feu plus complexes, cohérentes et robustes pour votre réseau avec des coûts de maintenance réduits. Tenez compte des spécifications supplémentaires suivantes lorsque vous utilisez des groupes d'adresses avec des règles de pare-feu :
La capacité d'un groupe d'adresses est ajoutée au nombre total d'attributs de la stratégie de pare-feu dans laquelle le groupe d'adresses est utilisé. Assurez-vous de définir la capacité sur une valeur appropriée en fonction de votre cas d'utilisation.
Si un groupe d'adresses ajouté à la règle de stratégie de pare-feu n'existe pas, le filtre de groupe d'adresses est supprimé de la règle. Pour en savoir plus sur le fonctionnement des groupes d'adresses sources avec d'autres filtres sources dans les règles d'entrée, consultez les sections Sources des règles d'entrée dans les stratégies de pare-feu hiérarchiques et Sources des règles d'entrée dans les stratégies de pare-feu réseau. Pour en savoir plus sur le fonctionnement des groupes d'adresses de destination avec d'autres filtres de destination dans les règles de sortie, consultez Destinations pour les règles de sortie.
Les groupes d'adresses au niveau de l'organisation peuvent être utilisés dans des stratégies de pare-feu hiérarchiques, des stratégies de pare-feu réseau globales et des stratégies de pare-feu réseau régionales. Les groupes d'adresses au niveau du projet ne peuvent être utilisés que dans des stratégies de pare-feu réseau globales et des stratégies de pare-feu réseau régionales.
Pour les groupes d'adresses au niveau du projet et de l'organisation, l'emplacement du groupe d'adresses doit correspondre à celui de la stratégie de pare-feu.
Étape suivante
- Utilisez des groupes d'adresses.
- Composants des règles de stratégie de pare-feu
- Google Threat Intelligence pour les règles de stratégie de pare-feu
- Objets de nom de domaine complet