エンドポイント グループは、プロデューサー デプロイ グループを参照するコンシューマー リソースです。このページでは、ミラーリング エンドポイント グループとその機能について詳しく説明します。
ミラーリング エンドポイント グループ
セキュリティ管理者が所有するプロジェクトにミラーリング エンドポイント グループを作成することをおすすめします。ミラーリング エンドポイント グループの関連付けを作成するには、セキュリティ管理者がプロジェクトまたはネットワーク管理者にミラーリング エンドポイント管理者(roles/networksecurity.mirroringAdmin)ロールとミラーリング エンドポイント ネットワーク管理者(roles/networksecurity.mirroringEndpointNetworkAdmin)ロールを割り当てる必要があります。
ミラーリング エンドポイント グループの関連付けの詳細については、ミラーリング エンドポイント グループの関連付けをご覧ください。
仕様
- ミラーリング エンドポイント グループは、グローバル レベルで作成されるプロジェクト レベルのリソースです。
- Network Security Integration は、Packet Mirroring テクノロジーを使用して、Virtual Private Cloud(VPC)ネットワーク内の Google Cloud ワークロードからのトラフィックをミラーリング エンドポイント グループにミラーリングします。
- セキュリティ プロファイルは、ミラーリング ルールがこのフローに適用されるように構成され、ネットワークがミラーリング エンドポイント グループに関連付けられている場合にのみ、VPC ネットワーク内のワークロード トラフィックをミラーリング エンドポイント グループにリダイレクトします。
- ミラーリング ルールは、ディープ パケット インスペクションのためにミラーリング エンドポイント グループにリダイレクトされる各パケットに VPC ネットワーク識別子を追加します。IP アドレス範囲が重複する複数の VPC ネットワークがある場合、このネットワーク識別子により、リダイレクトされる各パケットが VPC ネットワークに正しく関連付けられます。
- ミラーリング エンドポイント グループをグローバルに作成し、1 つ以上の VPC ネットワークに関連付けてワークロードをモニタリングできます。ミラーリング エンドポイント グループの関連付けを使用して、ミラーリング エンドポイント グループを VPC ネットワークに接続します。
- ミラーリング エンドポイント グループを削除できるのは、関連付けられている VPC ネットワークがない場合のみです。
ミラーリング エンドポイント グループの関連付け
ミラーリング エンドポイント グループの関連付けは、プロジェクト レベルのリソースです。ミラーリング エンドポイント グループの関連付けは、ミラーリング エンドポイント グループを VPC ネットワークにリンクして、トラフィックを検査対象にします。ミラーリング エンドポイント グループが関連付けられると、ミラーリング ルールに一致するトラフィックが複製され、関連付けられたミラーリング デプロイ グループに送信されます。ミラーリング エンドポイント グループの関連付けの作成と管理の詳細については、ミラーリング エンドポイント グループの関連付けの作成と管理をご覧ください。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、ミラーリング エンドポイント グループを管理するための次の操作を管理します。
- プロジェクトでのミラーリング エンドポイント グループの作成
- ミラーリング エンドポイント グループの変更または削除
- ミラーリング エンドポイント グループの詳細を表示する
- プロジェクトで構成されたすべてのミラーリング エンドポイント グループの表示
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| 新しいミラーリング エンドポイント グループを作成する | ミラーリング エンドポイント グループが作成されるプロジェクトに対するミラーリング エンドポイント管理者ロール(roles/networksecurity.mirroringEndpointAdmin)。 |
| 既存のミラーリング エンドポイント グループを変更する | プロジェクトに対するミラーリング エンドポイント管理者ロール(roles/networksecurity.mirroringEndpointAdmin)。 |
| プロジェクト内のミラーリング エンドポイント グループの詳細を表示する | プロジェクトに対する次のいずれかのロール:
|
| プロジェクト内のすべてのミラーリング エンドポイント グループを表示する | プロジェクトに対する次のいずれかのロール:
|
IAM ロールは、ミラーリング エンドポイント グループの関連付けに関して次のアクションを管理します。
- プロジェクトでのミラーリング エンドポイント グループの関連付けの作成
- ミラーリング エンドポイント グループの関連付けの変更または削除
- ミラーリング エンドポイント グループの関連付けの詳細を表示する
- プロジェクトで構成されたすべてのミラーリング エンドポイント グループの関連付けを表示する
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| ミラーリング エンドポイント グループの関連付けを作成する |
ミラーリング エンドポイント グループの関連付けが作成されるプロジェクトに対するミラーリング エンドポイント管理者ロール( プロジェクトに対するミラーリング エンドポイント ユーザー ロール( |
| ミラーリング エンドポイント グループの関連付けを変更する(更新または削除) | VPC ネットワークが存在するプロジェクトに対するミラーリング エンドポイント管理者ロール(roles/networksecurity.mirroringEndpointAdmin)。 |
| プロジェクト内のミラーリング エンドポイント グループの関連付けの詳細を表示する | 次のいずれかのロール:
|
| プロジェクト内のすべてのミラーリング エンドポイント グループの関連付けを表示する | 次のいずれかのロール:
|
割り当て
ミラーリング エンドポイント グループに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。