このページでは、 Google Cloud コンソールまたは Google Cloud CLI を使用してセキュリティ プロファイル グループを作成する方法について説明します。
このページに記載されているオペレーションの進行状況を確認するには、ユーザー ロールに次の Compute ネットワーク ユーザー(roles/compute.networkUser)の権限が付与されていることを確認してください。
networksecurity.operations.getnetworksecurity.operations.list
始める前に
- プロジェクトで Network Security API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
ロール
セキュリティ プロファイル グループを作成するために必要な権限を取得するには、組織またはプロジェクトに必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。
セキュリティ プロファイル グループを作成する
各セキュリティ プロファイル グループには、次のタイプのセキュリティ プロファイルをそれぞれ 1 つずつ含めることができます。
url-filteringthreat-prevention
組織レベルのセキュリティ プロファイル グループ
組織レベルのセキュリティ プロファイル グループを作成するには、Google Cloud コンソールまたは gcloud CLI を使用します。
セキュリティ プロファイル グループを作成するときに、セキュリティ プロファイル グループの名前を文字列または一意の URL 識別子として指定できます。セキュリティ プロファイル グループの一意の URL を作成するには、次の形式を使用します。
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAME
セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、セキュリティ プロファイル グループの組織とロケーションは URL 識別子にすでに含まれています。ただし、セキュリティ プロファイル グループ名のみを使用する場合は、組織とロケーションを別々に指定する必要があります。一意の URL 識別子の詳細については、セキュリティ プロファイル グループの仕様をご覧ください。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル グループ] タブを選択します。
セキュリティ プロファイル グループを構成します。
- [プロファイル グループを作成] をクリックします。
- 必要に応じて、[名前] フィールドに名前を入力します。
- 省略可: [説明] フィールドに説明を入力します。
- Cloud Next Generation Firewall Enterprise のセキュリティ プロファイル グループを作成するには、[目的] セクションで [Cloud NGFW Enterprise] を選択します。
- [脅威防止プロファイル] リストまたは [URL フィルタリング プロファイル] リストで、このセキュリティ プロファイル グループに追加するセキュリティ プロファイルを選択します。
- [作成] をクリックします。
gcloud
セキュリティ プロファイル グループを作成するには、gcloud network-security
security-profile-groups create コマンドを使用します。
gcloud network-security security-profile-groups create NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project QUOTA_PROJECT_ID \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。NAME変数に一意の URL 識別子を使用する場合、--organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。NAME変数に一意の URL 識別子を使用する場合、--locationフラグは省略できます。QUOTA_PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。SECURITY_PROFILE_URL:url-filteringまたはthreat-preventionタイプのセキュリティ プロファイルの一意の URL 識別子。これらのセキュリティ プロファイルを少なくとも 1 つ追加する必要があります。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。
プロジェクト レベルのセキュリティ プロファイル グループ
プロジェクト レベルのセキュリティ プロファイル グループを作成するには、gcloud CLI を使用します。
セキュリティ プロファイル グループを作成するときに、セキュリティ プロファイル グループの名前を文字列または一意の URL 識別子として指定できます。セキュリティ プロファイル グループの一意の URL を作成するには、次の形式を使用します。
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、セキュリティ プロファイル グループのプロジェクトとロケーションは URL 識別子にすでに含まれています。ただし、セキュリティ プロファイル グループ名のみを使用する場合は、プロジェクトとロケーションを別々に指定する必要があります。一意の URL 識別子の詳細については、セキュリティ プロファイル グループの仕様をご覧ください。
gcloud
セキュリティ プロファイル グループを作成するには、gcloud network-security
security-profile-groups create コマンドを使用します。
gcloud beta network-security security-profile-groups create NAME \
--project PROJECT_ID \
--location LOCATION \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。PROJECT_ID: セキュリティ プロファイル グループが作成されるプロジェクト。NAME変数に一意の URL 識別子を使用する場合、--projectフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。NAME変数に一意の URL 識別子を使用する場合、--locationフラグは省略できます。SECURITY_PROFILE_URL:url-filteringまたはthreat-preventionタイプのセキュリティ プロファイルの一意の URL 識別子。これらのセキュリティ プロファイルを少なくとも 1 つ追加する必要があります。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。