Esta página se ha traducido con Cloud Translation API.

Utilizar reglas y políticas de cortafuegos jerárquicas

En esta página se da por hecho que conoces los conceptos descritos en el artículo Información general sobre las políticas de cortafuegos jerárquicas. Para ver ejemplos de implementaciones de políticas de cortafuegos jerárquicas, consulta Ejemplos de políticas de cortafuegos jerárquicas.

Limitaciones

Las reglas de las políticas de cortafuegos jerárquicas no admiten el uso de etiquetas de red para definir destinos. En su lugar, debes usar una red de nube privada virtual (VPC) de destino o una cuenta de servicio de destino.
Las políticas de cortafuegos se pueden aplicar a nivel de carpeta y de organización, pero no a nivel de red de VPC. Las reglas de cortafuegos de VPC normales se admiten en las redes de VPC.
Solo se puede asociar una política de cortafuegos a un recurso (carpeta u organización), aunque las instancias de máquina virtual (VM) de una carpeta pueden heredar reglas de toda la jerarquía de recursos que haya por encima de la VM.
La función Registro de reglas de cortafuegos está disponible para las reglas allow y deny, pero no para las reglas goto_next.
El protocolo de salto a salto de IPv6 no se admite en las reglas de cortafuegos.

Tareas de políticas de cortafuegos

En esta sección se describe cómo crear y gestionar políticas de firewall jerárquicas.

Para comprobar el progreso de una operación que se deriva de una tarea que se indica en esta sección, asegúrate de que tu principal de gestión de identidades y accesos tenga los siguientes permisos o roles además de los permisos o roles necesarios para cada tarea.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en la organización

Crear una política de cortafuegos

Cuando creas una política de cortafuegos jerárquica, puedes definir como elemento superior la organización o una carpeta de la organización. Después de crear la política, puedes asociarla a la organización o a una carpeta de la organización.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.create

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en la organización o carpeta en la que quieras crear la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la organización o la carpeta en la que quieras crear la política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, elige el ID de tu organización o una carpeta de tu organización.
Haz clic en Crear política de cortafuegos.
En el campo Nombre de la política, introduce un nombre para la política.
Opcional: Si quiere crear reglas para su política, haga clic en Continuar.
En la sección Añadir reglas, haga clic en Crear regla de cortafuegos.

Para obtener más información, consulta el artículo Crear una regla.
Opcional: Si quieres asociar la política a un recurso, haz clic en Continuar.
En la sección Asociar política a recursos, haga clic en Añadir.

Para obtener más información, consulta Asociar una política a la organización o a la carpeta.
Haz clic en Crear.

gcloud

Ejecuta estos comandos para crear una política de cortafuegos jerárquica cuya organización principal sea una organización:

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Ejecuta estos comandos para crear una política de cortafuegos jerárquica cuyo elemento superior sea una carpeta de una organización:

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Haz los cambios siguientes:

ORG_ID: el ID de tu organización

Especifica un ID de organización para crear una política cuya organización superior sea una organización. La política se puede asociar a la organización o a una carpeta de la organización.
SHORT_NAME: nombre de la política

Una política creada con la CLI de Google Cloud tiene dos nombres: uno generado por el sistema y otro corto que proporcionas tú. Cuando uses la CLI de gcloud para actualizar una política, puedes proporcionar el nombre generado por el sistema o el nombre corto y el ID de la organización. Cuando utilice la API para actualizar la política, debe proporcionar el nombre generado por el sistema.
FOLDER_ID: el ID de una carpeta

Especifica un ID de carpeta para crear una política cuyo elemento superior sea una carpeta. La política se puede asociar a la organización que contiene la carpeta o a cualquier carpeta de esa organización.

Asociar una política a la organización o a la carpeta

Cuando asocias una política de cortafuegos jerárquica a una organización o a una carpeta de una organización, las reglas de la política de cortafuegos (excepto las inhabilitadas y en función del destino de cada regla) se aplican a los recursos de las redes de VPC de los proyectos de la organización o la carpeta asociadas.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

Roles

Administrador de recursos de organización de Compute (roles/compute.orgSecurityResourceAdmin) en la organización o carpeta a la que se debe aplicar la política de cortafuegos
Además, debe tener uno de los siguientes roles:
- Administrador de red de Compute (roles/compute.networkAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser ) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Administrador de políticas de seguridad de organización de Compute (roles/compute.orgSecurityPolicyAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Usuario de políticas de seguridad de organización de Compute (roles/compute.orgSecurityPolicyUser) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos
- Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política de cortafuegos

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contiene tu política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Haz clic en Añadir asociación.
Selecciona la raíz de la organización o las carpetas de la organización.
Haz clic en Añadir.

gcloud

De forma predeterminada, si intentas insertar una asociación en una organización o una carpeta que ya tiene una asociación, el método falla. Si especificas la marca --replace-association-on-target, la asociación se eliminará al mismo tiempo que se cree la nueva. De esta forma, el recurso no se quedará sin una política durante la transición.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Haz los cambios siguientes:

POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política
ORG_ID: el ID de tu organización
FOLDER_ID: si vas a asociar la política a una carpeta, especifícala aquí. Omítelo si vas a asociar la política a nivel de organización.
ASSOCIATION_NAME: nombre opcional de la asociación. Si no se especifica, el nombre se asigna a "organización ORG_ID" o "carpeta FOLDER_ID".

Mover una política de un recurso a otro

Al mover una política, solo se cambia su elemento superior. Si cambias el elemento superior de la política, es posible que cambien las entidades de gestión de identidades y accesos que pueden crear y actualizar reglas en la política, así como las que pueden crear asociaciones en el futuro.

Al mover una política, no se modifican las asociaciones de políticas ni la evaluación de las reglas de la política.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.move

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el nuevo recurso principal (organización o carpeta) y en el recurso principal anterior o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el nuevo recurso principal (organización o carpeta) y en el recurso principal anterior o en la propia política

Consola

Usa Google Cloud CLI para llevar a cabo este procedimiento.

gcloud

Ejecuta estos comandos para mover la política de cortafuegos jerárquica a una organización:

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Ejecuta estos comandos para mover la política de cortafuegos jerárquica a una carpeta de una organización:

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Haz los cambios siguientes:

POLICY_NAME: el nombre abreviado o el nombre generado por el sistema de la política que vas a mover
ORG_ID: el ID de la organización a la que se transfiere la política
FOLDER_ID: el ID de la carpeta a la que se mueve la política

Actualizar la descripción de una política

El único campo de política que se puede actualizar es el de Descripción.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.update

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en Editar.
Modifica la descripción.
Haz clic en Guardar.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Mostrar políticas

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.list

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.

En el caso de una organización, la sección Políticas de cortafuegos asociadas a esta organización muestra las políticas asociadas. En la sección Políticas de cortafuegos ubicadas en esta organización se muestran las políticas que son propiedad de la organización.

En el caso de una carpeta, la sección Políticas de cortafuegos asociadas a esta carpeta o heredadas por ella muestra las políticas asociadas a la carpeta o heredadas por ella. En la sección Políticas de cortafuegos ubicadas en esta carpeta se muestran las políticas que pertenecen a la carpeta.

Nota: Es posible que las políticas que pertenecen a un recurso (organización o carpeta) no estén asociadas a ese recurso, pero sí se puedan asociar a ese u otros recursos.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Describe una política

Puedes ver los detalles de una política de cortafuegos jerárquica, incluidas las reglas de la política y los atributos de las reglas asociadas. Todos estos atributos de regla se tienen en cuenta en la cuota de atributos de regla. Para obtener más información, consulta "Atributos de reglas por política de cortafuegos jerárquica" en la tabla Por política de cortafuegos.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.get

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política
Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Eliminar una política

Para poder eliminar una política de cortafuegos jerárquica, debes eliminar todas sus asociaciones.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.delete

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política que quieras eliminar.
Haz clic en la pestaña Asociaciones.
Selecciona todas las asociaciones.
Haz clic en Quitar asociación.
Una vez que se hayan quitado todas las asociaciones, haz clic en Eliminar.

gcloud

Usa el siguiente comando para eliminar la política:

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Mostrar asociaciones de un recurso

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.organizations.listAssociations

Roles

Administrador de recursos de organización de Compute (roles/compute.orgSecurityResourceAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
En el recurso seleccionado (organización o carpeta), se muestra una lista de las políticas asociadas y heredadas.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Eliminar una asociación

Si necesitas cambiar la política de cortafuegos jerárquica asociada a una organización o una carpeta, te recomendamos que asocies una nueva política en lugar de eliminar una política asociada. Puedes asociar una política nueva en un solo paso, lo que ayuda a garantizar que una política de cortafuegos jerárquica siempre esté asociada a la organización o a la carpeta.

Para eliminar una asociación entre una política de cortafuegos jerárquica y una organización o una carpeta, sigue los pasos que se indican en esta sección. Las reglas de la política de cortafuegos jerárquica no se aplican a las conexiones nuevas después de que se elimine su asociación.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.organizations.setFirewallPolicy

Roles

Administrador de recursos de organización de Compute (roles/compute.orgSecurityResourceAdmin) en el recurso principal (organización o carpeta) al que está asociada la política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la pestaña Asociaciones.
Selecciona la asociación que quieras eliminar.
Haz clic en Quitar asociación.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tareas de reglas de políticas de cortafuegos

En esta sección se describe cómo crear y gestionar reglas de políticas de firewall jerárquicas.

Crear una regla

Las reglas de políticas de cortafuegos jerárquicas deben crearse en una política de cortafuegos jerárquica. Las reglas no estarán activas hasta que asocies la política que las contiene a un recurso.

Cada regla de política de cortafuegos jerárquica puede incluir intervalos de IPv4 o IPv6, pero no ambos.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.update

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en la política de cortafuegos, la organización o la carpeta que contiene la política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contiene tu política.
Haz clic en el nombre de la política.
Haz clic en Crear regla de cortafuegos.
Rellena los campos de la regla:
1. Prioridad: el orden de evaluación numérico de la regla. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tengas.
2. En Recogida de registros, selecciona Activado o Desactivado.
3. En Dirección del tráfico, especifique si esta regla es de entrada o de salida.
4. En Acción tras coincidencia, elija una de las siguientes opciones:
  1. Permitir: permite las conexiones que coincidan con la regla.
  2. Deny (Denegar): deniega las conexiones que coincidan con la regla.
  3. Ir al siguiente: pasa la evaluación de la conexión a la siguiente regla de cortafuegos inferior de la jerarquía.
  4. Aplicar grupo de perfiles de seguridad: envía los paquetes al endpoint de cortafuegos configurado para la inspección de la capa 7.
    - En la lista Grupo de perfiles de seguridad, selecciona el nombre de un grupo de perfiles de seguridad.
    - Para habilitar la inspección TLS de los paquetes, selecciona Habilitar inspección TLS. Para obtener más información sobre cómo se evalúan las reglas y las acciones correspondientes en cada interfaz de red de la máquina virtual, consulta Orden de evaluación de políticas y reglas.
5. Opcional: Puede restringir la regla a determinadas redes especificándolas en el campo Redes de destino. Haz clic en Añadir red y, a continuación, selecciona el Proyecto y la Red. Puede añadir varias redes de destino a una regla.
6. Opcional: Puedes restringir la regla a las VMs que se ejecuten con acceso a determinadas cuentas de servicio especificando las cuentas en el campo Cuentas de servicio de destino.
7. Opcional: Puede seleccionar Etiquetas seguras para especificar fuentes de reglas de entrada y destinos de reglas de entrada o salida en una política. Para obtener más información, consulta el artículo Crear y gestionar etiquetas seguras.
8. En el caso de una regla de entrada, especifica el tipo de red de origen:
  - Para filtrar el tráfico entrante que pertenezca a cualquier tipo de red, selecciona Todos los tipos de red.
  - Para filtrar el tráfico entrante que pertenece a un tipo de red específico, selecciona Tipo de red específico.
    - Para filtrar el tráfico entrante que pertenece al tipo de red de Internet (INTERNET), seleccione Internet.
    - Para filtrar el tráfico entrante que pertenece al tipo de red no de Internet (NON-INTERNET), seleccione No de Internet.
    - Para filtrar el tráfico entrante que pertenece al tipo de red intra-VPC (INTRA_VPC), seleccione Intra-VPC.
    - Para filtrar el tráfico entrante que pertenece al tipo de redes de VPC (VPC_NETWORKS), selecciona Redes de VPC y, a continuación, especifica una o varias redes con el siguiente botón:
      - Seleccionar proyecto actual: te permite añadir una o varias redes del proyecto actual.
      - Introducir red manualmente: te permite introducir un proyecto y una red manualmente.
      - Seleccionar proyecto: te permite elegir un proyecto desde el que puedes elegir una red. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.
9. En el caso de una regla de salida, especifica el tipo de red de destino:
  - Para filtrar el tráfico saliente que pertenezca a cualquier tipo de red, selecciona Todos los tipos de red.
  - Para filtrar el tráfico saliente que pertenece a un tipo de red específico, selecciona Tipo de red específico.
    - Para filtrar el tráfico saliente que pertenece al tipo de red de Internet (INTERNET), seleccione Internet.
    - Para filtrar el tráfico saliente que pertenece al tipo de red no de Internet (NON-INTERNET), selecciona No de Internet. Para obtener más información sobre los tipos de redes, consulta Tipos de redes.
10. En el caso de una regla Ingress, especifique el filtro Source:
  - Para filtrar el tráfico entrante por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
  - Para filtrar el tráfico entrante por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier fuente IPv6.
11. En el caso de una regla Salida, especifique el Filtro de destino:
  - Para filtrar el tráfico saliente por intervalos de IPv4 de destino, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
  - Para filtrar el tráfico saliente por intervalos de IPv6 de destino, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier destino IPv6.
12. Opcional: Si vas a crear una regla de entrada, especifica los FQDNs de origen a los que se aplica esta regla. Si está creando una regla de salida, seleccione los FQDNs de destino a los que se aplica esta regla. Para obtener más información sobre los objetos de nombre de dominio, consulta Objetos de FQDN.
13. Opcional: Si vas a crear una regla de entrada, selecciona las geolocalizaciones de origen a las que se aplica esta regla. Si vas a crear una regla de salida, selecciona las geolocalizaciones de destino a las que se aplica esta regla. Para obtener más información sobre los objetos de geolocalización, consulta Objetos de geolocalización.
14. Opcional: Si vas a crear una regla de entrada, selecciona los grupos de direcciones de origen a los que se aplica esta regla. Si vas a crear una regla de salida, selecciona los grupos de direcciones de destino a los que se aplica esta regla. Para obtener más información sobre los grupos de direcciones, consulta Grupos de direcciones de políticas de cortafuegos.
15. Opcional: Si vas a crear una regla de entrada, selecciona las listas de Inteligencia de amenazas de Google Cloud de origen a las que se aplica esta regla. Si va a crear una regla de salida, seleccione las listas de Inteligencia frente a amenazas de Google Cloud de destino a las que se aplica esta regla. Para obtener más información sobre Google Threat Intelligence, consulta Google Threat Intelligence para reglas de políticas de cortafuegos.
16. Opcional: En el caso de una regla Ingress, especifica los filtros de Destination:
  - Para filtrar el tráfico entrante por intervalos de IPv4 de destino, selecciona IPv4 e introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier destino IPv4.
  - Para filtrar el tráfico entrante por intervalos de IPv6 de destino, selecciona Intervalos de IPv6 e introduce los bloques CIDR en el campo Intervalos de IPv6 de destino. Usa ::/0 para cualquier destino IPv6. Para obtener más información, consulta Destinos de las reglas de entrada.
17. Opcional: En el caso de una regla Salida, especifica el filtro Origen:
  - Para filtrar el tráfico saliente por intervalos de IPv4 de origen, selecciona IPv4 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IP. Usa 0.0.0.0/0 para cualquier fuente IPv4.
  - Para filtrar el tráfico saliente por intervalos de IPv6 de origen, selecciona IPv6 y, a continuación, introduce los bloques CIDR en el campo Intervalos de IPv6. Usa ::/0 para cualquier fuente IPv6. Para obtener más información, consulta Fuentes de reglas de salida.
18. En Protocolos y puertos, especifique si la regla se aplica a todos los protocolos y puertos de destino o a qué protocolos y puertos de destino se aplica.
  
  Para especificar ICMP IPv4, usa icmp o el número de protocolo 1. Para especificar ICMP de IPv6, usa el número de protocolo 58. Para obtener más información sobre los protocolos, consulta Protocolos y puertos.
19. Haz clic en Crear.
Haz clic en Crear regla de cortafuegos para añadir otra regla.

gcloud

Para crear una regla de entrada, usa el siguiente comando:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction INGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--src-address-groups SRC_ADDRESS_GROUPS] \
    [--src-fqdns SRC_DOMAIN_NAMES] \
    [--src-secure-tags SRC_SECURE_TAGS] \
    [--src-region-codes SRC_COUNTRY_CODES] \
    [--src-threat-intelligence SRC_THREAT_LIST_NAMES] \
    [--src-network-type SRC_NETWORK_TYPE] \
    [--src-networks SRC_VPC_NETWORK] \
    [--dest-ip-ranges DEST_IP_RANGES]

Haz los cambios siguientes:

PRIORITY: el orden de evaluación numérica de la regla en la política. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes más adelante.
POLICY_NAME: nombre de la política de cortafuegos de red jerárquica que contiene la nueva regla.
ORG_ID: el ID de la organización que contiene la política de cortafuegos jerárquica.
DESCRIPTION: descripción opcional de la nueva regla
ACTION: especifica una de las siguientes acciones:
- allow: permite las conexiones que coincidan con la regla.
- deny: deniega las conexiones que coincidan con la regla.
- apply_security_profile_group: envía los paquetes de forma transparente al endpoint del cortafuegos configurado para la inspección de la capa 7. Cuando la acción es apply_security_profile_group:
  - Debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7.
  - Incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección TLS.
- goto_next: continúa con el siguiente paso del proceso de evaluación de reglas de cortafuegos.
Los parámetros --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de cortafuegos.
Los parámetros --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
Especifica un objetivo:
- TARGET_NETWORKS: lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red con el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
- TARGET_SECURE_TAGS: una lista de etiquetas seguras separadas por comas. Los valores de las etiquetas seguras de segmentación deben proceder de una clave de etiqueta segura con datos de finalidad de la organización.
- TARGET_SERVICE_ACCOUNTS: lista de cuentas de servicio separada por comas.
- Si omite los parámetros target-resources, --target-secure-tags y --target-service-accounts, la regla se aplicará a la segmentación más amplia.
LAYER_4_CONFIGS: lista de configuraciones de capa 4 separada por comas. Cada configuración de capa 4 puede ser una de las siguientes:
- Nombre de protocolo IP (tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino.
- Nombre de protocolo IP y puerto de destino separados por dos puntos (tcp:80).
- Nombre de un protocolo IP e intervalo de puertos de destino separados por dos puntos. Se usa un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulte Protocolos y puertos.
Especifique una fuente para la regla de entrada:
- SRC_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, pero no una combinación de ambos.
- SRC_ADDRESS_GROUPS: lista de grupos de direcciones separados por comas especificados por sus identificadores de URL únicos. Los grupos de direcciones de la lista deben contener todas las direcciones IPv4 o todas las direcciones IPv6, no una combinación de ambas.
- SRC_DOMAIN_NAMES: una lista de objetos FQDN separados por comas especificados en el formato de nombre de dominio.
- SRC_SECURE_TAGS: una lista de etiquetas separadas por comas. No puedes usar el parámetro --src-secure-tags si --src-network-type es INTERNET.
- SRC_COUNTRY_CODES: lista de códigos de país de dos letras separados por comas. Para obtener más información, consulta Objetos de geolocalización. No puedes usar el parámetro --src-region-codes si el valor de --src-network-type es NON_INTERNET, VPC_NETWORK o INTRA_VPC.
- SRC_THREAT_LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall. No puedes usar el parámetro --src-threat-intelligence si el valor de --src-network-type es NON_INTERNET, VPC_NETWORK o INTRA_VPC.
- SRC_NETWORK_TYPE: define los tipos de redes de origen que se van a usar junto con otro parámetro de destino admitido para generar una combinación de destino específica. Los valores válidos son INTERNET, NON_INTERNET, VPC_NETWORK o INTRA_VPC. Para obtener más información, consulta Tipos de redes.
- SRC_VPC_NETWORK: lista de VPCs separadas por comas especificadas por sus identificadores de URL. Especifica este parámetro solo cuando --src-network-type sea VPC_NETWORKS.
También puede especificar un destino para la regla de entrada:
- DEST_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.

Para crear una regla de salida, usa el siguiente comando:

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    --description DESCRIPTION \
    --direction EGRESS \
    --action ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources TARGET_NETWORKS] \
    [--target-secure-tags TARGET_SECURE_TAGS] \
    [--target-service-accounts TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs LAYER_4_CONFIGS] \
    [--src-ip-ranges SRC_IP_RANGES] \
    [--dest-ip-ranges DEST_IP_RANGES] \
    [--dest-address-groups DEST_ADDRESS_GROUPS] \
    [--dest-fqdns DEST_DOMAIN_NAMES] \
    [--dest-region-codes DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence DEST_THREAT_LIST_NAMES] \
    [--dest-network-type DEST_NETWORK_TYPE]

Haz los cambios siguientes:

PRIORITY: el orden de evaluación numérica de la regla en la política. Las reglas se evalúan de mayor a menor prioridad, donde 0 es la prioridad más alta. Las prioridades deben ser únicas para cada regla. Te recomendamos que separes los valores de prioridad de las reglas por más de una unidad (por ejemplo, 100, 200 y 300) para que puedas crear reglas nuevas entre las que ya tienes más adelante.
POLICY_NAME: nombre de la política de cortafuegos de red jerárquica que contiene la nueva regla.
ORG_ID: el ID de la organización que contiene la política de cortafuegos jerárquica.
DESCRIPTION: descripción opcional de la nueva regla
ACTION: especifica una de las siguientes acciones:
- allow: permite las conexiones que coincidan con la regla.
- deny: deniega las conexiones que coincidan con la regla.
- apply_security_profile_group: envía los paquetes de forma transparente al endpoint del cortafuegos configurado para la inspección de la capa 7. Cuando la acción es apply_security_profile_group:
  - Debes incluir --security-profile-group SECURITY_PROFILE_GROUP, donde SECURITY_PROFILE_GROUP es el nombre de un grupo de perfiles de seguridad que se usa para la inspección de la capa 7.
  - Incluye --tls-inspect o --no-tls-inspect para habilitar o inhabilitar la inspección TLS.
- goto_next: continúa con el siguiente paso del proceso de evaluación de reglas de cortafuegos.
Los parámetros --enable-logging y --no-enable-logging habilitan o inhabilitan el registro de reglas de cortafuegos.
Los parámetros --disabled y --no-disabled controlan si la regla está inhabilitada (no se aplica) o habilitada (se aplica).
Especifica un objetivo:
- TARGET_NETWORKS: lista separada por comas de redes de VPC especificadas por sus URLs de recursos de red con el formato https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME.
- TARGET_SECURE_TAGS: una lista de etiquetas seguras separadas por comas. Los valores de las etiquetas seguras de segmentación deben proceder de una clave de etiqueta segura con datos de finalidad de la organización.
- TARGET_SERVICE_ACCOUNTS: lista de cuentas de servicio separada por comas.
- Si omite los parámetros target-resources, --target-secure-tags y --target-service-accounts, la regla se aplicará a la segmentación más amplia.
LAYER_4_CONFIGS: lista de configuraciones de capa 4 separada por comas. Cada configuración de capa 4 puede ser una de las siguientes:
- Nombre de protocolo IP (tcp) o número de protocolo IP de IANA (17) sin ningún puerto de destino.
- Nombre de protocolo IP y puerto de destino separados por dos puntos (tcp:80).
- Nombre de un protocolo IP e intervalo de puertos de destino separados por dos puntos. Se usa un guion para separar los puertos de destino inicial y final (tcp:5000-6000). Para obtener más información, consulte Protocolos y puertos.
Si quieres, especifica una fuente para la regla de salida:
- SRC_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
Especifica un destino para la regla de salida:
- DEST_IP_RANGES: una lista separada por comas de intervalos de direcciones IP en formato CIDR. Todos los intervalos de la lista deben ser CIDRs IPv4 o CIDRs IPv6, no una combinación de ambos.
- DEST_ADDRESS_GROUPS: lista de grupos de direcciones separados por comas especificados por sus identificadores de URL únicos.
- DEST_DOMAIN_NAMES: una lista de objetos FQDN separados por comas especificados en el formato de nombre de dominio.
- DEST_COUNTRY_CODES: lista de códigos de país de dos letras separados por comas. Para obtener más información, consulta Objetos de geolocalización.
- DEST_THREAT_LIST_NAMES: lista de nombres de listas de Google Threat Intelligence separados por comas. Para obtener más información, consulta Google Threat Intelligence para reglas de políticas de firewall.
- DEST_NETWORK_TYPE: define un tipo de red de destino que se va a usar junto con otro parámetro de destino admitido para generar una combinación de destino específica. Los valores válidos son INTERNET y NON_INTERNET. Para obtener más información, consulta Tipos de redes.

Mostrar todas las reglas de una política

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.get

Roles

Administrador de red de Compute (roles/compute.networkAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política
Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política. Las reglas se muestran en la pestaña Reglas de cortafuegos.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Describe una regla

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.get

Roles

Administrador de red de Compute (roles/compute.networkAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política
Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Usuario de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyUser) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Haz los cambios siguientes:

PRIORITY: la prioridad de la regla que quieres ver. Como cada regla debe tener una prioridad única, este ajuste identifica una regla de forma exclusiva.
ORG_ID: el ID de tu organización
POLICY_NAME: el nombre corto o el nombre generado por el sistema de la política que contiene la regla

Actualizar una regla

Para ver las descripciones de los campos, consulta Crear una regla.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.update

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Haz clic en la prioridad de la regla.
Haz clic en Editar.
Modifica los campos que quieras cambiar.
Haz clic en Guardar.

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Clonar reglas de una política a otra

Quita todas las reglas de la política de destino y sustitúyelas por las reglas de la política de origen.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.copyRules

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en la política de la que quieras copiar las reglas.
En la parte superior de la pantalla, haz clic en Clonar.
Indica el nombre de una política de destino.
Si quieres asociar la nueva política inmediatamente, haz clic en Continuar para abrir la sección Asociar política a recursos.
Haz clic en Clonar.

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Haz los cambios siguientes:

POLICY_NAME: la política para recibir las reglas copiadas
ORG_ID: el ID de tu organización
SOURCE_POLICY: la política de la que se van a copiar las reglas. Debe ser la URL del recurso.

Eliminar una regla

Si se elimina una regla de una política, la regla dejará de aplicarse a las nuevas conexiones hacia o desde el destino de la regla.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.firewallPolicies.update

Roles

Administrador de políticas de cortafuegos de organización de Compute (roles/compute.orgFirewallPolicyAdmin) en el recurso principal (organización o carpeta) que contiene la política o en la propia política
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el recurso principal (organización o carpeta) que contiene la política o la propia política

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
En el menú de selección de proyectos, selecciona el ID de tu organización o la carpeta que contenga la política.
Haz clic en tu política.
Selecciona la regla que quieras eliminar.
Haz clic en Eliminar.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Haz los cambios siguientes:

PRIORITY: la prioridad de la regla que quieres eliminar de la política
ORG_ID: el ID de tu organización
POLICY_NAME: la política que contiene la regla

Obtener las reglas de cortafuegos vigentes de una red

Puede ver todas las reglas de políticas de cortafuegos de jerarquía, las reglas de cortafuegos de VPC y las reglas de políticas de cortafuegos de red globales que se aplican a todas las regiones de una red de VPC.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Roles

Administrador de red de Compute (roles/compute.networkAdmin) en el proyecto que contiene la red o
Usuario de red de Compute (roles/compute.networkUser) en el proyecto que contiene la red o
Lector de red de Compute (roles/compute.networkViewer) en el proyecto que contiene la red o
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el proyecto que contiene la red o
Lector de Compute (roles/compute.viewer) en el proyecto que contiene la red

Consola

En la Google Cloud consola, ve a la página Redes de VPC.

Ir a redes de VPC
Haga clic en la red de la que quiera ver las reglas de la política de cortafuegos.
Haz clic en Firewalls.
Despliega cada política de cortafuegos para ver las reglas que se aplican a esta red.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Sustituye NETWORK_NAME por la red de la que quieras ver las reglas vigentes.

También puedes ver las reglas de cortafuegos efectivas de una red en la página Cortafuegos.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.organizations.listAssociations en la red
Opcional: resourcemanager.folders.get y resourcemanager.organizations.get para ver la información de las columnas Heredado de y Ubicación

Roles

Para ver las reglas de cortafuegos, haz lo siguiente:

compute.orgSecurityResourceAdmin
compute.viewer

Opcional: Para ver información en las columnas Heredado de y Ubicación, haz lo siguiente:

browser
resourcemanager.organizationAdmin

Consola

En la Google Cloud consola, ve a la página Políticas de cortafuegos.

Ir a Políticas de cortafuegos
Las políticas de cortafuegos se muestran en la sección Políticas de cortafuegos que ha heredado este proyecto.
Haga clic en cada política de cortafuegos para ver las reglas que se aplican a esta red.

Obtener las reglas de cortafuegos efectivas de una interfaz de VM

Puede ver todas las reglas de cortafuegos (de todas las políticas de cortafuegos y reglas de cortafuegos de VPC aplicables) que se aplican a una interfaz de red de una VM de Compute Engine.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.instances.getEffectiveFirewalls

Roles

Administrador de instancias de Compute (roles/compute.instanceAdmin) en el proyecto que contiene la instancia de VM o
Agente de servicio del gestor de grupos de instancias (roles/compute.instanceGroupManagerServiceAgent) en el proyecto que contiene la instancia de VM o
Administrador de seguridad de Compute (roles/compute.securityAdmin) en el proyecto que contiene la instancia de VM o
Lector de Compute (roles/compute.viewer) en el proyecto que contiene la instancia de VM

Consola

En la consola de Google Cloud , ve a la página Instancias de VM.

Ir a instancias de VM
En el menú de selección de proyectos, elige el proyecto que contiene la VM.
Haz clic en la VM.
En Interfaces de red, haz clic en la interfaz.
Las reglas de cortafuegos vigentes aparecen en la pestaña Cortafuegos de la sección Análisis de configuración de red.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Haz los cambios siguientes:

INSTANCE_NAME: la VM de la que quieres ver las reglas efectivas. Si no se especifica ninguna interfaz, el comando devuelve las reglas de la interfaz principal (nic0).
INTERFACE: la interfaz de la VM de la que quieres ver las reglas vigentes. El valor predeterminado es nic0.
ZONE: la zona de la VM. Esta línea es opcional si la zona elegida ya está definida como predeterminada.

Solución de problemas

En esta sección se explican los mensajes de error que pueden aparecer.

FirewallPolicy may not specify a name. One will be provided.

No puedes especificar un nombre de política. Los "nombres" de las políticas de cortafuegos jerárquicas son IDs numéricos que genera Google Cloud cuando se crea la política. Sin embargo, puedes especificar un nombre corto más fácil de recordar que actúe como alias en muchos contextos.
FirewallPolicy may not specify associations on creation.

Las asociaciones solo se pueden crear después de crear las políticas de cortafuegos jerárquicas.
Can not move firewall policy to a different organization.

Los movimientos de políticas de cortafuegos jerárquicas deben permanecer en la misma organización.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Si ya se ha adjuntado un recurso con una política de cortafuegos jerárquica, la operación de adjuntar fallará a menos que se le asigne el valor true a la opción de sustituir las asociaciones existentes.
Cannot have rules with the same priorities.

Las prioridades de las reglas deben ser únicas en una política de cortafuegos jerárquica.
Direction must be specified on firewall policy rule.

Cuando creas reglas de políticas de cortafuegos jerárquicas enviando solicitudes REST directamente, debes especificar la dirección de la regla. Si usas Google Cloud CLI y no especificas ninguna dirección, el valor predeterminado es INGRESS.
Can not specify enable_logging on a goto_next rule.

El registro del cortafuegos no se permite en las reglas con la acción goto_next porque estas acciones se usan para representar el orden de evaluación de las diferentes políticas de cortafuegos y no son acciones terminales (por ejemplo, ALLOW o DENY).
Must specify at least one destination on Firewall policy rule.

La marca layer4Configs de la regla de la política de cortafuegos debe especificar al menos un protocolo o un protocolo y un puerto de destino.

Para obtener más información sobre cómo solucionar problemas con las reglas de políticas de cortafuegos, consulta el artículo Solucionar problemas con las reglas de cortafuegos de VPC.

Utilizar reglas y políticas de cortafuegos jerárquicas Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Limitaciones

Tareas de políticas de cortafuegos

Permisos que se necesitan para completar esta tarea

Crear una política de cortafuegos

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Asociar una política a la organización o a la carpeta

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Mover una política de un recurso a otro

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Actualizar la descripción de una política

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Mostrar políticas

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Describe una política

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Eliminar una política

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Mostrar asociaciones de un recurso

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Eliminar una asociación

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Tareas de reglas de políticas de cortafuegos

Crear una regla

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Mostrar todas las reglas de una política

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Describe una regla

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Actualizar una regla

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Clonar reglas de una política a otra

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Eliminar una regla

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Obtener las reglas de cortafuegos vigentes de una red

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Permisos que se necesitan para completar esta tarea

Consola

Obtener las reglas de cortafuegos efectivas de una interfaz de VM

Permisos que se necesitan para completar esta tarea

Consola

gcloud

Solución de problemas

Siguientes pasos

Utilizar reglas y políticas de cortafuegos jerárquicas