Pour gérer des groupes d'adresses, vous devez d'abord identifier le champ d'application du groupe d'adresses pertinent pour vos besoins. Le champ d'application identifie le niveau auquel le groupe d'adresses s'applique dans la hiérarchie des ressources.
Si vous souhaitez utiliser un groupe d'adresses dans une règle de stratégie de pare-feu qui s'applique à un projet spécifique, utilisez un groupe d'adresses au niveau du projet.
Si vous souhaitez utiliser un groupe d'adresses dans une règle de stratégie de pare-feu applicable à l'ensemble de la hiérarchie sur toutes les ressources d'une organisation ou d'un réseau, utilisez un groupe d'adresses au niveau de l'organisation. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.
Groupes d'adresses au niveau du projet
Cette section fournit des informations détaillées sur la gestion des groupes d'adresses au niveau du projet.
Décrire un groupe d'adresses
Pour afficher les détails d'un groupe d'adresses, vous devez spécifier son nom et son emplacement.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre projet.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
Pour afficher les détails, cliquez sur le nom de votre groupe d'adresses.
gcloud
Pour décrire un groupe d'adresses, utilisez la commande gcloud network-security address-groups describe :
gcloud network-security address-groups describe NAME \
--location LOCATION
Mettre à jour un groupe d'adresses
Vous ne pouvez pas modifier le nom, le type ou la capacité du groupe d'adresses. Vous ne pouvez modifier que la description du groupe d'adresses et les adresses IP.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre projet.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
Pour modifier un groupe d'adresses, cliquez sur son nom.
Cliquez sur Modifier ().
Modifiez les champs obligatoires.
Cliquez sur Enregistrer.
gcloud
Pour mettre à jour un groupe d'adresses, utilisez la commande gcloud network-security address-groups update :
gcloud network-security address-groups update NAME \
--description DESCRIPTION \
--location LOCATION
Répertorier les groupes d'adresses
Vous pouvez lister tous les groupes d'adresses d'un emplacement.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre projet.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
gcloud
Pour répertorier les groupes d'adresses, utilisez la commande gcloud network-security address-groups list :
gcloud network-security address-groups list \
--location LOCATION
Supprimer un groupe d'adresses
Vous pouvez supprimer un groupe d'adresses en spécifiant son nom et son emplacement. Toutefois, si le groupe d'adresses est référencé par une règle de pare-feu, il ne peut pas être supprimé.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre projet.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
Cochez la case située à côté du groupe d'adresses que vous souhaitez supprimer. Assurez-vous que le groupe d'adresses sélectionné n'est référencé par aucune stratégie de pare-feu.
Cliquez sur Supprimer, puis à nouveau sur Supprimer pour confirmer l'opération.
gcloud
Pour supprimer un groupe d'adresses dans un projet, utilisez la commande gcloud network-security address-groups delete :
gcloud network-security address-groups delete NAME \ --location LOCATION
Rechercher des références de groupes d'adresses
Un groupe d'adresses est utilisé par les stratégies de pare-feu. Vous pouvez consulter la liste de toutes les règles de pare-feu qui utilisent un groupe d'adresses spécifique.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre projet.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
Cliquez sur le nom de votre groupe d'adresses.
Dans le champ Utilisé par, les règles de pare-feu qui utilisent ce groupe d'adresses sont répertoriées au format suivant :
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
Pour répertorier toutes les ressources qui font référence à un groupe d'adresses au niveau du projet, utilisez la commande gcloud network-security address-groups list-references :
gcloud network-security address-groups list-references NAME \
--location LOCATION
Ajouter des éléments à un groupe d'adresses
Vous pouvez ajouter plusieurs éléments, tels que des adresses IP ou des plages d'adresses IP, à un groupe d'adresses. Si la requête contient des éléments qui font déjà partie des groupes d'adresses, ces éléments sont ignorés. Si la requête contient des éléments non valides, l'ensemble de la requête échoue.
Console
Pour ajouter un élément à un groupe d'adresses à l'aide de la console Google Cloud , suivez la procédure décrite dans Mettre à jour un groupe d'adresses.
gcloud
Pour ajouter des éléments à un groupe d'adresses, utilisez la commande gcloud network-security address-groups add-items :
gcloud network-security address-groups add-items NAME \
--items ITEMS \
--location LOCATION
Remplacez les éléments suivants :
NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.ITEMS: liste d'adresses IP ou de plages d'adresses IP séparées par des virgules au format CIDR.LOCATION: emplacement du groupe d'adresses.Vous pouvez définir cette valeur sur
globalou sur un code de région (par exemple,europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètrename, vous pouvez omettre le paramètrelocation.
Supprimer des éléments d'un groupe d'adresses
Vous pouvez supprimer des éléments existants d'un groupe d'adresses. Si l'un des éléments de la requête n'est pas valide, la requête échoue. Si la requête contient des éléments qui ne font pas partie du groupe d'adresses, ils sont ignorés.
Console
Pour supprimer un élément d'un groupe d'adresses à l'aide de la console Google Cloud , suivez la procédure décrite dans Mettre à jour un groupe d'adresses.
gcloud
Pour supprimer des éléments d'un groupe d'adresses, utilisez la commande gcloud network-security address-groups remove-items :
gcloud network-security address-groups remove-items NAME \
--items ITEMS \
--location LOCATION
Remplacez les éléments suivants :
NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.ITEMS: liste d'adresses IP ou de plages d'adresses IP au format CIDR à supprimer, séparées par des virgulesLOCATION: emplacement du groupe d'adresses.Vous pouvez définir cette valeur sur
globalou sur un code de région (par exemple,europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètrename, vous pouvez omettre le paramètrelocation.
Groupes d'adresses au niveau de l'organisation
Cette section fournit des informations détaillées sur la gestion des groupes d'adresses au niveau de l'organisation.
Décrire un groupe d'adresses
Vous pouvez afficher les détails d'un groupe d'adresses spécifique.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
Pour afficher les détails, cliquez sur le nom de votre groupe d'adresses.
gcloud
Pour décrire un groupe d'adresses au niveau de l'organisation, utilisez la commande gcloud network-security org-address-groups describe :
gcloud network-security org-address-groups describe NAME \
--organization ORGANIZATION \
--location LOCATION
Mettre à jour un groupe d'adresses
Vous ne pouvez pas modifier le nom, le type ou la capacité du groupe d'adresses. Vous ne pouvez modifier que la description du groupe d'adresses et les adresses IP.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
Pour modifier un groupe d'adresses, cliquez sur son nom.
Cliquez sur Modifier ().
Modifiez les champs obligatoires.
Cliquez sur Enregistrer.
gcloud
Pour mettre à jour un groupe d'adresses au niveau de l'organisation, utilisez la commande gcloud network-security org-address-groups update :
gcloud network-security org-address-groups update NAME \
--organization ORGANIZATION \
--description DESCRIPTION \
--location LOCATION
Répertorier les groupes d'adresses
Vous pouvez lister tous les groupes d'adresses d'un emplacement.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
gcloud
Pour lister les groupes d'adresses d'une organisation, utilisez la commande gcloud network-security org-address-groups list :
gcloud network-security org-address-groups list \
--organization ORGANIZATION \
--location LOCATION
Supprimer un groupe d'adresses
Vous pouvez supprimer un groupe d'adresses en spécifiant son nom, son organisation et son emplacement. Si le groupe d'adresses est référencé par une règle de pare-feu, il ne peut pas être supprimé.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
Cochez la case située à côté du groupe d'adresses que vous souhaitez supprimer. Assurez-vous que le groupe d'adresses sélectionné n'est référencé par aucune stratégie de pare-feu.
Cliquez sur Supprimer, puis à nouveau sur Supprimer pour confirmer l'opération.
gcloud
Pour supprimer un groupe d'adresses au niveau de l'organisation, utilisez la commande gcloud network-security org-address-groups delete :
gcloud network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
Rechercher des références de groupes d'adresses
Un groupe d'adresses est utilisé par les stratégies de pare-feu. Vous pouvez consulter la liste de toutes les règles de pare-feu qui utilisent un groupe d'adresses spécifique.
Console
Dans la console Google Cloud , accédez à la page Groupes d'adresses.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Les groupes d'adresses sont listés dans la section Groupes d'adresses.
Cliquez sur le nom de votre groupe d'adresses.
Dans le champ Utilisé par, les règles de pare-feu qui utilisent ce groupe d'adresses sont répertoriées au format suivant :
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
Pour répertorier toutes les ressources qui font référence à un groupe d'adresses au niveau de l'organisation, utilisez la commande gcloud network-security org-address-groups list-references :
gcloud network-security org-address-groups list-references NAME \
--organization ORGANIZATION \
--location LOCATION
Ajouter des éléments à un groupe d'adresses
Vous pouvez ajouter plusieurs éléments, tels que des adresses IP ou des plages d'adresses IP, à un groupe d'adresses. Si la requête contient des éléments qui font déjà partie du groupe d'adresses, ces éléments sont ignorés. Si la requête contient des éléments non valides, l'ensemble de la requête échoue.
Console
Pour ajouter un élément à un groupe d'adresses au niveau de l'organisation à l'aide de la consoleGoogle Cloud , suivez la procédure décrite dans Mettre à jour un groupe d'adresses.
gcloud
Pour ajouter des éléments à un groupe d'adresses au niveau de l'organisation, utilisez la commande gcloud network-security org-address-groups add-items :
gcloud network-security org-address-groups add-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
Remplacez les éléments suivants :
NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.ORGANIZATION: ID de l'organisation dans laquelle le groupe d'adresses est créé.Si vous utilisez un identifiant d'URL unique pour le paramètre
name, vous pouvez omettre le paramètreorganization.ITEMS: liste d'adresses IP ou de plages d'adresses IP séparées par des virgules au format CIDR.LOCATION: emplacement du groupe d'adresses.Vous pouvez définir cette valeur sur
globalou sur un code de région (par exemple,europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètrename, vous pouvez omettre le paramètrelocation.
Supprimer des éléments d'un groupe d'adresses
Vous pouvez supprimer des éléments existants d'un groupe d'adresses. Si l'un des éléments de la requête n'est pas valide, la requête échoue. Si la requête contient des éléments qui ne font pas partie du groupe d'adresses, ils sont ignorés.
Console
Pour supprimer un élément d'un groupe d'adresses au niveau de l'organisation à l'aide de la consoleGoogle Cloud , suivez la procédure décrite dans Mettre à jour un groupe d'adresses.
gcloud
Pour supprimer un élément d'un groupe d'adresses au niveau de l'organisation, utilisez la commande gcloud network-security org-address-groups remove-items :
gcloud network-security org-address-groups remove-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
Remplacez les éléments suivants :
NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.ORGANIZATION: ID de l'organisation dans laquelle le groupe d'adresses est créé.Si vous utilisez un identifiant d'URL unique pour le paramètre
name, vous pouvez omettre le paramètreorganization.ITEMS: liste d'adresses IP ou de plages d'adresses IP au format CIDR à supprimer, séparées par des virgulesLOCATION: emplacement du groupe d'adresses.Vous pouvez définir cette valeur sur
globalou sur un code de région (par exemple,europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètrename, vous pouvez omettre le paramètrelocation.
Étapes suivantes
- Utiliser des stratégies de pare-feu hiérarchiques
- Utiliser des stratégies de pare-feu de réseau au niveau mondial
- Utiliser des stratégies de pare-feu réseau régionales