セキュリティ プロファイル グループの作成と管理

このページでは、Google Cloud CLI を使用して、カスタム セキュリティ プロファイルで セキュリティ プロファイル グループ を作成し、管理する方法について説明します。

始める前に

ロール

セキュリティ プロファイル グループを作成、表示、更新、削除するために必要な権限を取得するには、組織に必要な Identity and Access Management(IAM)ロール の付与を管理者に依頼してください。ロールの付与については、 プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

このページに記載されているオペレーションの進行状況を確認するには、 ユーザー ロールに次の Compute ネットワーク ユーザー ロールroles/compute.networkUser)の権限が付与されていることを確認してください。

  • networksecurity.operations.get
  • networksecurity.operations.list

カスタム プロファイルでセキュリティ プロファイル グループを作成する

セキュリティ プロファイル グループは、タイプが CUSTOM_MIRRORING のセキュリティ プロファイルでのみ作成できます。

セキュリティ プロファイル グループを作成するときに、セキュリティ プロファイル グループの名前を文字列または一意の URL 識別子として指定できます。 組織スコープのセキュリティ プロファイル グループの一意の URL は、次の形式で構成できます。

  organizations/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

次のように置き換えます。

  • ORGANIZATION_ID: 組織の ID。

  • LOCATION: セキュリティ プロファイル グループのスコープ。 ロケーションは常に global に設定されます。

  • SECURITY_PROFILE_GROUP_NAME: セキュリティ プロファイル グループの名前。

セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、セキュリティ プロファイル グループの組織とロケーションは URL 識別子にすでに含まれています。ただし、セキュリティ プロファイル グループ名のみを使用する場合は、組織とロケーションを別々に指定する必要があります。一意の URL 識別子の詳細については 、 仕様をご覧ください。

コンソール

  1. コンソールで、[セキュリティ プロファイル グループ] ページに移動します。 Google Cloud

    [セキュリティ プロファイル グループ] に移動

  2. 組織選択ツールから自分の組織を選択します。

  3. [セキュリティ プロファイル グループ] タブで、[プロファイル グループを作成] をクリックします。

  4. [**名前**] に、セキュリティ プロファイル グループの名前を入力します。

  5. [セキュリティ プロファイル グループの目的] で、[NSI アウトオブバンド] を選択します。

  6. [カスタム ミラーリング プロファイル] で、インバンド統合用のカスタム セキュリティ プロファイルを選択します。

  7. [作成] をクリックします。

gcloud

セキュリティ プロファイル グループを作成するには、gcloud network-security security-profile-groups create コマンドを使用します。

 gcloud network-security security-profile-groups \
     create SECURITY_PROFILE_GROUP_NAME \
     --custom-mirroring-profile CUSTOM_MIRROING_PROFILE_NAME \
     --description DESCRIPTION \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

次のように置き換えます。

  • SECURITY_PROFILE_GROUP_NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。

  • CUSTOM_MIRRORING_PROFILE_NAME: カスタム ミラーリング セキュリティ プロファイルの名前。

  • DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。

  • ORGANIZATION_ID: セキュリティ プロファイル グループが作成されている組織。

  • PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID。

Terraform

セキュリティ プロファイル グループを作成するには、google_network_security_security_profile_group リソースを使用します。

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_mirroring_profile = google_network_security_security_profile.default.id
}

Terraform 構成を適用または削除する方法については、 基本的な Terraform コマンドをご覧ください。

セキュリティ プロファイル グループを表示する

組織内の特定のセキュリティ プロファイル グループの詳細を表示できます。

コンソール

  1. コンソールで、[セキュリティ プロファイル グループ] ページに移動します。 Google Cloud

    [セキュリティ プロファイル グループ] に移動

  2. 組織選択ツールから自分の組織を選択します。

  3. [セキュリティ プロファイル グループ] タブで、セキュリティ プロファイル グループの名前をクリックします。

gcloud

セキュリティ プロファイル グループの詳細を表示するには、gcloud network-security security-profile-groups describe コマンドを使用します。

 gcloud network-security security-profile-groups \
     describe SECURITY_PROFILE_GROUP_NAME \
     --organization ORGANIZATION_ID \
     --location=global \
     --billing-project PROJECT_ID

次のように置き換えます。

  • SECURITY_PROFILE_GROUP_NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。

  • ORGANIZATION_ID: セキュリティ プロファイル グループが作成されている組織。

  • PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID。

セキュリティ プロファイル グループを一覧表示する

組織内のすべてのカスタム ミラーリング セキュリティ プロファイル グループを一覧表示できます。

コンソール

  1. コンソールで、[セキュリティ プロファイル グループ] ページに移動します。 Google Cloud

    [セキュリティ プロファイル グループ] に移動

  2. 組織選択ツールから自分の組織を選択します。

  3. [セキュリティ プロファイル グループ] タブに、セキュリティ プロファイル グループのリストが表示されます。

gcloud

カスタム ミラーリング セキュリティ プロファイル グループを一覧表示するには、 gcloud network-security security-profile-groups list コマンドを使用します。

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID \
    --location=global \
    --filter CUSTOM_MIRRORING_PROFILE
    --billing-project PROJECT_ID

次のように置き換えます。

  • ORGANIZATION_ID: セキュリティ プロファイル グループが作成されている組織。

  • CUSTOM_MIRRORING_PROFILE: が定義されているプロファイル グループの名前。custom_mirroring_profile

  • PROJECT_ID: セキュリティ プロファイル グループの課金に使用するプロジェクト ID。

セキュリティ プロファイル グループを更新する

セキュリティ プロファイル グループで参照されるセキュリティ プロファイルの説明とラベルを更新できます。

コンソール

  1. コンソールで、[セキュリティ プロファイル グループ] ページに移動します。 Google Cloud

    [セキュリティ プロファイル グループ] に移動

  2. 組織選択ツールから自分の組織を選択します。

  3. セキュリティ プロファイル グループをクリックします。

  4. [編集] をクリックします。

  5. ルールを編集したら、[保存] をクリックします。

gcloud

セキュリティ プロファイル グループを更新するには、gcloud network-security security-profile-groups update コマンドを使用します。

gcloud network-security security-profile-groups \
    update SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID \
    --location=global \
    --description DESCRIPTION

次のように置き換えます。

  • SECURITY_PROFILE_GROUP_NAME: 更新するセキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。

  • ORGANIZATION_ID: セキュリティ プロファイル グループが作成されている組織。

  • DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。

セキュリティ プロファイル グループを削除する

セキュリティ プロファイル グループは、名前、ロケーション、組織を指定して削除できます。ただし、ネットワーク ファイアウォール ポリシーがカスタム セキュリティ プロファイルを参照している場合、そのセキュリティ プロファイル グループは削除できません。

コンソール

  1. コンソールで、[セキュリティ プロファイル グループ] ページに移動します。 Google Cloud

    [セキュリティ プロファイル グループ] に移動

  2. 組織選択ツールから自分の組織を選択します。

  3. [セキュリティ プロファイル グループ] タブで、削除するセキュリティ プロファイル グループのチェックボックスをオンにして、[削除] をクリックします。

  4. もう一度 [削除] をクリックして確定します。

gcloud

セキュリティ プロファイル グループを削除するには、gcloud network-security security-profile-groups delete コマンドを使用します。

gcloud network-security security-profile-groups \
    delete SECURITY_PROFILE_GROUP_NAME \
    --custom-profile CUSTOM_PROFILE_NAME \
    --organization ORGANIZATION_ID \
    --location-global \
    --billing-project PROJECT_ID

次のように置き換えます。

  • SECURITY_PROFILE_GROUP_NAME: 削除するセキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。

  • CUSTOM_PROFILE_NAME: カスタム セキュリティ プロファイルの名前。

  • ORGANIZATION_ID: セキュリティ プロファイル グループが作成されている組織。

  • PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID。

次のステップ