このページでは、Google Cloud CLI を使用して、カスタム セキュリティ プロファイルで セキュリティ プロファイル グループ を作成し、管理する方法について説明します。
始める前に
- プロジェクトで Network Security API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。
ロール
セキュリティ プロファイル グループを作成、表示、更新、削除するために必要な権限を取得するには、組織またはプロジェクトに必要な Identity and Access Management(IAM)ロール の付与を管理者に依頼してください。ロールの付与については、 プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
このページに記載されているオペレーションの進行状況を確認するには、
ユーザー ロールに次の
Compute ネットワーク ユーザー
(roles/compute.networkUser)の権限が付与されていることを確認してください。
networksecurity.operations.getnetworksecurity.operations.list
カスタム プロファイルでセキュリティ プロファイル グループを作成する
セキュリティ プロファイル グループは、組織レベルまたはプロジェクト レベル(プレビュー)で作成できます。セキュリティ プロファイル グループは、CUSTOM_MIRRORING タイプのセキュリティ プロファイルでのみ作成できます。
コンソール
コンソールで、[セキュリティ プロファイル グループ] ページに移動します。 Google Cloud
プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。
[セキュリティ プロファイル グループ] タブで、[プロファイル グループを作成] をクリックします。
[**名前**] に、セキュリティ プロファイル グループの名前を入力します。
[セキュリティ プロファイル グループの目的] で、[NSI アウトオブバンド] を選択します。
[カスタム ミラーリング プロファイル] で、インバンド統合用のカスタム セキュリティ プロファイルを選択します。
[作成] をクリックします。
gcloud
セキュリティ プロファイル グループを作成するには、gcloud network-security security-profile-groups create コマンドを使用します。
gcloud network-security security-profile-groups \
create SECURITY_PROFILE_GROUP_NAME \
--custom-mirroring-profile CUSTOM_MIRRORING_PROFILE_NAME \
--description DESCRIPTION \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
次のように置き換えます。
SECURITY_PROFILE_GROUP_NAME: セキュリティ プロファイル グループの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
CUSTOM_MIRRORING_PROFILE_NAME: カスタム ミラーリング セキュリティ プロファイルの名前。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。ORGANIZATION_ID: 組織の ID。このフラグを使用して、組織レベルのセキュリティ プロファイル グループを作成します。PROJECT_ID: プロジェクト ID。このフラグ を使用して、プロジェクト レベルのセキュリティ プロファイル グループ(プレビュー)を作成します。--projectフラグは(プレビュー)で利用できます。このフラグを使用するには、gcloud beta network-security security-profile-groups createコマンドを実行します。QUOTA_PROJECT_ID: 割り当てプロジェクトの ID。このフラグは、組織レベルのセキュリティ プロファイル グループにのみ使用します。
Terraform
セキュリティ プロファイル グループを作成するには、google_network_security_security_profile_group リソースを使用します。
Terraform 構成を適用または削除する方法については、 基本的な Terraform コマンドをご覧ください。
セキュリティ プロファイル グループの詳細を一覧表示して表示する
組織 またはプロジェクト(プレビュー)のセキュリティ プロファイル グループを一覧表示し、グループの詳細(名前やカスタム インターセプト プロファイルなど)を表示できます。
コンソール
コンソールで、[セキュリティ プロファイル グループ] ページに移動します。 Google Cloud
プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。 このタブには、すべてのセキュリティ プロファイル グループが表示されます。
[セキュリティ プロファイル グループ] タブで、セキュリティ プロファイル グループの名前をクリックして詳細を表示します。
gcloud
カスタム ミラーリング セキュリティ プロファイル グループを一覧表示するには、
gcloud network-security security-profile-groups list コマンドを使用します。
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
--filter CUSTOM_MIRRORING_PROFILE \
[--billing-project QUOTA_PROJECT_ID]
セキュリティ プロファイル グループの詳細を表示するには、
gcloud network-security security-profile-groups describe コマンドを使用します。
gcloud network-security security-profile-groups \
describe SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
次のように置き換えます。
SECURITY_PROFILE_GROUP_NAME: セキュリティ プロファイル グループの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
CUSTOM_MIRRORING_PROFILE: フィルタするカスタム ミラーリング セキュリティ プロファイル。ORGANIZATION_ID: セキュリティ プロファイル グループが存在する組織の ID。PROJECT_ID: セキュリティ プロファイル グループが存在するプロジェクト ID。--projectフラグは(プレビュー)で利用できます。このフラグを使用するには、gcloud beta network-security security-profile-groups describeコマンドを実行します。QUOTA_PROJECT_ID: 割り当てプロジェクトの ID。このフラグは、組織レベルのセキュリティ プロファイル グループにのみ使用します。
セキュリティ プロファイル グループを更新する
セキュリティ プロファイル グループで参照されるセキュリティ プロファイルの説明とラベルを更新できます。
コンソール
コンソールで、[セキュリティ プロファイル グループ] ページに移動します。 Google Cloud
プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。
セキュリティ プロファイル グループをクリックします。
[編集] をクリックします。
ルールを編集したら、[保存] をクリックします。
gcloud
セキュリティ プロファイル グループを更新するには、gcloud network-security security-profile-groups update コマンドを使用します。
gcloud network-security security-profile-groups \
update SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
--description DESCRIPTION
次のように置き換えます。
SECURITY_PROFILE_GROUP_NAME: 更新するセキュリティ プロファイル グループの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
ORGANIZATION_ID: セキュリティ プロファイル グループが存在する組織の ID。PROJECT_ID: セキュリティ プロファイル グループが存在するプロジェクト ID。--projectフラグは(プレビュー)で利用できます。このフラグを使用するには、gcloud beta network-security security-profile-groups updateコマンドを実行します。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。
セキュリティ プロファイル グループを削除する
セキュリティ プロファイル グループは、名前、ロケーション、組織を指定して削除できます。ただし、カスタム セキュリティ プロファイルがネットワーク ファイアウォール ポリシーによって参照されている場合、そのセキュリティ プロファイル グループは削除できません。
コンソール
コンソールで、[セキュリティ プロファイル グループ] ページに移動します。 Google Cloud
プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。
[セキュリティ プロファイル グループ] タブで、削除するセキュリティ プロファイル グループのチェックボックスをオンにして、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
セキュリティ プロファイル グループを削除するには、gcloud network-security security-profile-groups delete コマンドを使用します。
gcloud network-security security-profile-groups \
delete SECURITY_PROFILE_GROUP_NAME \
--organization ORGANIZATION_ID | --project PROJECT_ID \
--location=global \
[--billing-project QUOTA_PROJECT_ID]
次のように置き換えます。
SECURITY_PROFILE_GROUP_NAME: 削除するセキュリティ プロファイル グループの名前。一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。
ORGANIZATION_ID: セキュリティ プロファイル グループが存在する組織の ID。PROJECT_ID: セキュリティ プロファイル グループが存在するプロジェクト ID。--projectフラグは(プレビュー)で利用できます。このフラグを使用するには、gcloud beta network-security security-profile-groups deleteコマンドを実行します。QUOTA_PROJECT_ID: 割り当てプロジェクトの ID。このフラグは、組織レベルのセキュリティ プロファイル グループにのみ使用します。