このページでは、 Google Cloud コンソールまたは Google Cloud CLI を使用してセキュリティ プロファイル グループを作成し、管理する方法について説明します。
始める前に
- プロジェクトで Network Security API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
ロール
セキュリティ プロファイル グループを作成、表示、更新、削除するために必要な権限を取得するには、組織に必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセスの管理をご覧ください。
セキュリティ プロファイル グループを作成する
各セキュリティ プロファイル グループには、次のタイプのセキュリティ プロファイルをそれぞれ 1 つずつ含めることができます。
url-filteringthreat-prevention
セキュリティ プロファイル グループを作成するときに、セキュリティ プロファイル グループの名前を文字列または一意の URL 識別子として指定できます。組織スコープのセキュリティ プロファイル グループの一意の URL は、次の形式で構成できます。
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、セキュリティ プロファイル グループの組織とロケーションは URL 識別子にすでに含まれています。ただし、セキュリティ プロファイル グループ名のみを使用する場合は、組織とロケーションを別々に指定する必要があります。一意の URL 識別子の詳細については、セキュリティ プロファイル グループの仕様をご覧ください。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル グループ] タブを選択します。
セキュリティ プロファイル グループを構成します。
- [プロファイル グループを作成] をクリックします。
- 必要に応じて、[名前] フィールドに名前を入力します。
- 省略可: [説明] フィールドに説明を入力します。
- [脅威防止プロファイル] リストまたは [URL フィルタリング プロファイル] リストで、このセキュリティ プロファイル グループに追加するセキュリティ プロファイルを選択します。
- [作成] をクリックします。
gcloud
セキュリティ プロファイル グループを作成するには、gcloud network-security
security-profile-groups create コマンドを使用します。
gcloud network-security security-profile-groups create NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--project PROJECT_ID \
--url-filtering-profile SECURITY_PROFILE_URL \
--threat-prevention-profile SECURITY_PROFILE_URL \
--description DESCRIPTION
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。SECURITY_PROFILE_URL:url-filteringまたはthreat-preventionタイプのセキュリティ プロファイルの一意の URL 識別子。これらのセキュリティ プロファイルを少なくとも 1 つ追加する必要があります。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。
セキュリティ プロファイル グループを表示する
組織内の特定のセキュリティ プロファイル グループの詳細を表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを選択して、詳細を表示します。
gcloud
セキュリティ プロファイル グループの詳細を表示するには、gcloud
network-security security-profile-groups describe コマンドを使用します。
gcloud network-security security-profile-groups describe NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--project PROJECT_ID
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。
セキュリティ プロファイル グループを一覧表示する
組織内のすべてのセキュリティ プロファイル グループを一覧表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
gcloud
セキュリティ プロファイル グループを一覧表示するには、gcloud network-security
security-profile-groups list コマンドを使用します。
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの課金に使用するプロジェクト ID(省略可)。
セキュリティ プロファイル グループを更新する
セキュリティ プロファイル グループで参照されるセキュリティ プロファイル名を更新できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを選択して、[編集] をクリックします。
必須フィールドを更新して、[保存] をクリックします。
gcloud
セキュリティ プロファイル グループを更新するには、gcloud network-security
security-profile-groups update コマンドを使用します。
gcloud network-security security-profile-groups update NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--clear-threat-prevention-profile | --threat-prevention-profile SECURITY_PROFILE_URL \
--clear-url-filtering-profile | --url-filtering-profile SECURITY_PROFILE_URL \
--project PROJECT_ID \
--description DESCRIPTION
次のように置き換えます。
NAME: 更新するセキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。SECURITY_PROFILE_URL:url-filteringまたはthreat-preventionタイプのセキュリティ プロファイルの一意の URL 識別子。次のフラグのうち、最大 1 つを指定します。
clear-threat-prevention-profile: threat-prevention-profile フィールドをクリアします。threat-prevention-profile:threat-preventionタイプのセキュリティ プロファイルの一意の URL 識別子で threat-prevention-profile フィールドを更新します。
同様に、次のフラグは 1 つまで指定します。
clear-url-filtering-profile: url-filtering-profile フィールドをクリアします。url-filtering-profile: url-filtering-profile フィールドをurl-filteringタイプのセキュリティ プロファイルの一意の URL 識別子で更新します。
PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。
セキュリティ プロファイル グループを削除する
セキュリティ プロファイル グループは、名前、ロケーション、組織を指定して削除できます。ただし、ファイアウォール ポリシーがセキュリティ プロファイルを参照している場合、そのセキュリティ プロファイル グループは削除できません。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを選択し、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
セキュリティ プロファイル グループを削除するには、gcloud network-security
security-profile-groups delete コマンドを使用します。
gcloud network-security security-profile-groups delete NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--billing-project PROJECT_ID
次のように置き換えます。
NAME: 削除するセキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。