インターセプト エンドポイント グループの関連付けの作成と管理

インターセプト エンドポイント グループの関連付けは、コンシューマーの Virtual Private Cloud ネットワークをトラフィック検査用のインターセプト エンドポイント グループにリンクするグローバル リソースです。トラフィック検査が必要な VPC ネットワークごとに、インターセプト エンドポイント グループの関連付けを作成します。エンドポイント グループ、エンドポイント グループの関連付け、トラフィックをリダイレクトするファイアウォール ルールを構成すると、VPC ネットワークでトラフィック検査の準備が整います。

エンドポイント グループとエンドポイント グループの関連付けを構成し、検査するトラフィックをリダイレクトするようにファイアウォール ルールを構成すると、VPC ネットワークでトラフィック検査の準備が整います。

このページでは、インターセプト エンドポイント グループの関連付けを作成して管理する方法について説明します。

始める前に

ロール

インターセプト エンドポイント グループの関連付けを作成、表示、削除するには、プロジェクトに必要な Identity and Access Management(IAM)ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

このページに記載されているオペレーションの進行状況を確認するには、ユーザーロールに次のインターセプト エンドポイント管理者(roles/networksecurity.interceptEndpointAdmin)のロールと権限があることを確認してください。

  • networksecurity.interceptEndpointGroupAssociations.create
  • networksecurity.interceptEndpointGroupAssociations.delete
  • networksecurity.interceptEndpointGroupAssociations.update
  • networksecurity.interceptEndpointGroupAssociations.get
  • networksecurity.interceptEndpointGroupAssociations.list
  • networksecurity.interceptEndpointGroups.use
  • compute.networks.use

インターセプト エンドポイント グループの関連付けを作成する

1 つ以上の VPC ネットワークを単一のインターセプト エンドポイント グループに関連付けることができます。

インターセプト エンドポイント グループの作成と管理セクションで、インターセプトされたトラフィックを処理するインターセプト エンドポイント グループを作成しました。ただし、どの VPC のトラフィックを検査できるかも指定する必要があります。これを行うには、プロジェクト レベルのインターセプト エンドポイント グループの関連付けを作成します。

インターセプト エンドポイント グループの関連付けは、VPC ネットワークと同じプロジェクトに作成する必要があります。

コンソール

  1. Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。

    [エンドポイント グループ] に移動

  2. エンドポイント グループの名前をクリックします。

  3. [関連付け] セクションで、[作成] をクリックします。

  4. [関連付けの作成] ペインで、[エンドポイント グループの関連付けを追加] をクリックします。

  5. [プロジェクト] と [ネットワーク] で、インターセプト デプロイ グループをホストするプロジェクトと VPC ネットワークを選択します。

  6. [完了] をクリックします。

  7. [作成] をクリックします。

gcloud

インターセプト エンドポイント グループの関連付けを作成するには、gcloud network-security intercept-endpoint-group-associations create コマンドを使用します。

gcloud network-security intercept-endpoint-group-associations create ENDPOINT_GROUP_ASSOCIATION_ID \
    --location global \
    --network NETWORK \
    --no-async \
    --intercept-endpoint-group \
        projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID

次のように置き換えます。

  • ENDPOINT_GROUP_ASSOCIATION_ID: インターセプト エンドポイント グループの関連付けの ID。
  • NETWORK: ネットワークの名前。
  • ENDPOINT_GROUP_PROJECT_ID: インターセプト エンドポイント グループを作成したGoogle Cloud プロジェクトの ID。
  • ENDPOINT_GROUP_ID: インターセプト エンドポイント グループの ID。

Terraform

インターセプト エンドポイント グループの関連付けを作成するには、google_network_security_intercept_endpoint_group_association リソースを使用します。

resource "google_network_security_intercept_endpoint_group_association" "default" {
  intercept_endpoint_group_association_id = "intercept-endpoint-group-association"
  location                                = "global"
  network                                 = google_compute_network.consumer_network.id
  intercept_endpoint_group                = google_network_security_intercept_endpoint_group.default.id
}

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

インターセプト エンドポイントの関連付けの詳細を表示する

インターセプト エンドポイント グループの関連付けの詳細(名前、インターセプト エンドポイント グループ、ロケーション、ネットワークなど)を表示できます。

また、VPC ネットワークの詳細ページの [エンドポイント グループ] タブで、インターセプト エンドポイント グループの関連付けの詳細を確認することもできます。

コンソール

  1. Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。

    [エンドポイント グループ] に移動

  2. インターセプト エンドポイント グループの名前をクリックします。[関連付け] セクションには、インターセプト エンドポイントの関連付けの詳細が表示されます。

gcloud

インターセプト エンドポイント グループの関連付けを表示するには、gcloud network-security intercept-endpoint-group-associations describe コマンドを使用します。

gcloud network-security intercept-endpoint-group-associations describe ENDPOINT_GROUP_ASSOCIATION_ID \
    --location global

ENDPOINT_GROUP_ASSOCIATION_ID は、インターセプト エンドポイント グループの関連付けの ID に置き換えます。

出力では、インターセプト エンドポイントの関連付けの名前が projects/PROJECT_ID/locations/global/interceptEndpointGroupAssociations/ENDPOINT_GROUP_ASSOCIATION_ID 形式で表示されます。

インターセプト エンドポイント グループの関連付けを一覧表示する

プロジェクト内のすべてのインターセプタ エンドポイント グループの関連付け(ID を含む)を一覧表示できます。

コンソール

  1. Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。

    [エンドポイント グループ] に移動

  2. インターセプト エンドポイント グループの名前をクリックします。[関連付け] セクションには、インターセプト エンドポイント グループのすべてのインターセプト エンドポイントの関連付けが一覧表示されます。

gcloud

プロジェクト内のすべてのインターセプト エンドポイント グループの関連付けを一覧表示するには、gcloud network-security intercept-endpoint-group-associations list コマンドを使用します。

gcloud network-security intercept-endpoint-group-associations list

インターセプト エンドポイント グループの関連付けを削除する

インターセプト デプロイ グループのインターセプト エンドポイント グループの関連付けを削除できます。

コンソール

  1. Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。

    [エンドポイント グループ] に移動

  2. インターセプト エンドポイント グループの名前をクリックします。

  3. [関連付け] セクションで、削除するインターセプト エンドポイントの関連付けを選択します。

  4. [削除] をクリックします。

  5. もう一度 [削除] をクリックして確定します。

gcloud

インターセプト エンドポイント グループの関連付けを削除するには、gcloud network-security intercept-endpoint-group-associations delete コマンドを使用します。

gcloud network-security intercept-endpoint-group-associations delete ENDPOINT_GROUP_ASSOCIATION_ID \
    --no-async \
    --location global

ENDPOINT_GROUP_ASSOCIATION_ID は、インターセプト エンドポイント グループの関連付けの ID に置き換えます。