インターセプト エンドポイント グループは、組織内の異なるプロジェクトの複数の VPC ネットワークで使用できるグローバル リソースです。コンシューマーがプロデューサーのインターセプト デプロイ グループにアクセスできるように、インターセプト エンドポイント グループを作成します。各インターセプト エンドポイント グループは、1 つのインターセプト デプロイ グループに関連付けられます。
このページでは、インターセプト エンドポイント グループを作成して管理する方法について説明します。
始める前に
Google Cloud プロジェクトで Compute Engine API を有効にします。
課金に使用する Google Cloud プロジェクトで Network Security API を有効にします。
gcloud CLI をインストールします。
インターセプト デプロイ グループを作成します。
ロール
インターセプト エンドポイント グループを作成、表示、削除するには、 Google Cloud プロジェクトに必要な Identity and Access Management(IAM)ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
このページに表示されているオペレーションの進行状況を確認するには、ユーザー ロールに Intercept Endpoint 管理者(roles/networksecurity.interceptEndpointAdmin)と Intercept Deployment ユーザー(roles/networksecurity.interceptDeploymentUser)のロールと権限があることを確認してください。
コンシューマーのインターセプト エンドポイント グループをプロデューサーのインターセプト デプロイ グループに接続するには、プロデューサー プロジェクトにインターセプト デプロイ ユーザーロール(roles/networksecurity.interceptDeploymentUser)が必要です。
インターセプト エンドポイント グループを作成する
インターセプト エンドポイント グループを作成し、プロデューサーのインターセプト デプロイ グループにリンクします。
セキュリティ管理者が所有するプロジェクトにインターセプト エンドポイント グループを作成することをおすすめします。
コンソール
Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。
[エンドポイント グループを作成] をクリックします。
[名前] に、インターセプト エンドポイント グループの名前を入力します。
[デプロイ グループ] で、次のいずれかを選択します。
プロジェクトを選択: インターセプト デプロイ グループが使用可能なプロジェクト名がわかっている場合に選択します。
現在のプロジェクトを選択: 同じプロジェクトにインターセプト デプロイ グループが存在する場合に選択します。
このオプションを選択した場合は、インターセプト デプロイ グループの名前を指定します。
デプロイ グループを手動で入力: 別のプロジェクトにインターセプト デプロイ グループが存在する場合に選択します。
このオプションを選択した場合は、プロジェクト ID とインターセプト デプロイ グループの名前を指定します。
[続行] をクリックします。
省略可: [エンドポイント グループの関連付けを追加] をクリックします。
プロジェクトの名前と、インターセプト デプロイ グループをホストする VPC ネットワークの名前を指定して、[完了] をクリックします。
[作成] をクリックします。
gcloud
インターセプト エンドポイント グループを作成するには、gcloud
network-security intercept-endpoint-groups create コマンドを使用します。
gcloud network-security intercept-endpoint-groups create ENDPOINT_GROUP_ID \
--location global \
--no-async \
--intercept-deployment-group \
projects/DEPLOYMENT_GROUP_PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_ID
次のように置き換えます。
ENDPOINT_GROUP_ID: インターセプト エンドポイント グループの ID。DEPLOYMENT_GROUP_PROJECT_ID: インターセプト デプロイ グループを作成したGoogle Cloud プロジェクトの ID。DEPLOYMENT_GROUP_ID: インターセプト デプロイ グループの ID。
インターセプト エンドポイント グループを VPC ネットワークに関連付けるには、インターセプト エンドポイント グループの関連付けを作成して管理するをご覧ください。
Terraform
インターセプト エンドポイント グループを作成するには、google_network_security_intercept_endpoint_group リソースを使用します。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
インターセプト エンドポイント グループの詳細を表示する
インターセプト エンドポイント グループの詳細(名前やインターセプト デプロイ グループなど)を表示できます。
コンソール
Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。
インターセプト エンドポイント グループの名前をクリックします。
gcloud
インターセプト エンドポイント グループの詳細を表示するには、gcloud
network-security intercept-endpoint-groups describe コマンドを使用します。
gcloud network-security intercept-endpoint-groups describe ENDPOINT_GROUP_ID \
--location global
ENDPOINT_GROUP_ID は、インターセプト エンドポイント グループの ID に置き換えます。
出力では、インターセプト エンドポイント グループの名前が projects/PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID 形式で表示されます。
インターセプト エンドポイント グループの一覧を取得する
プロジェクト内のすべてのインターセプト エンドポイント グループを ID とともに一覧表示できます。
コンソール
プロジェクトのすべてのインターセプト エンドポイント グループを表示するには、Google Cloud コンソールで [エンドポイント グループ] ページに移動します。
gcloud
すべてのインターセプト エンドポイント グループを一覧表示するには、gcloud
network-security intercept-endpoint-groups list コマンドを使用します。
gcloud network-security intercept-endpoint-groups list \
--location global
インターセプト エンドポイント グループを削除する
インターセプト エンドポイント グループを削除する前に、VPC ネットワークからインターセプト エンドポイント グループの関連付けを削除します。
コンソール
Google Cloud コンソールで、[エンドポイント グループ] ページに移動します。
インターセプト エンドポイント グループのチェックボックスをオンにして、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
インターセプト エンドポイント グループを削除するには、gcloud
network-security intercept-endpoint-groups delete コマンドを使用します。
gcloud network-security intercept-endpoint-groups delete ENDPOINT_GROUP_ID
--no-async \
--location global
次の ENDPOINT_GROUP_ID は、インターセプト エンドポイント グループの ID に置き換えます。