このページでは、カスタム インターセプト セキュリティ プロファイルを使用してセキュリティ プロファイル グループを作成し、管理する方法について説明します。
始める前に
- プロジェクトで Network Security API を有効にします。
- gcloud CLI をインストールします。
- カスタム インターセプト セキュリティ プロファイルを作成します。
ロール
セキュリティ プロファイル グループを作成、表示、更新、削除するには、組織に必要な Identity and Access Management(IAM)ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
このページに記載されているオペレーションの進行状況を確認するには、ユーザー ロールに次の Compute ネットワーク ユーザー ロール(roles/compute.networkUser)の権限が付与されていることを確認してください。
networksecurity.operations.getnetworksecurity.operations.list
セキュリティ プロファイル グループを作成する
セキュリティ プロファイル グループを作成するときに、セキュリティ プロファイル グループの名前とカスタム セキュリティ プロファイルの名前を指定します。
セキュリティ プロファイル グループは、セキュリティ管理者が所有するプロジェクトに作成することをおすすめします。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル グループ] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル グループ] タブで、[プロファイル グループを作成] をクリックします。
[名前] に、セキュリティ プロファイル グループの名前を入力します。
[セキュリティ プロファイル グループの目的] で、[NSI インバンド] を選択します。
[カスタム インターセプト プロファイル] で、インバンド統合用のカスタム セキュリティ プロファイルを選択します。
[作成] をクリックします。
gcloud
セキュリティ プロファイル グループを作成するには、gcloud network-security
security-profile-groups create コマンドを使用します。
gcloud network-security security-profile-groups create SECURITY_PROFILE_GROUP_ID \
--custom-intercept-profile CUSTOM_INTERCEPT_PROFILE_ID \
--organization ORGANIZATION_ID \
--billing-project BILLING_PROJECT_ID \
--location global
次のように置き換えます。
SECURITY_PROFILE_GROUP_ID: セキュリティ プロファイル グループの ID。CUSTOM_INTERCEPT_PROFILE_ID: カスタム インターセプト セキュリティ プロファイルの ID。ORGANIZATION_ID: セキュリティ プロファイル グループを作成する組織の ID。BILLING_PROJECT_ID: 割り当てに使用するプロジェクト ID。
Terraform
セキュリティ プロファイル グループを作成するには、google_network_security_security_profile_group リソースを使用します。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
セキュリティ プロファイル グループの詳細を表示する
組織内のセキュリティ プロファイル グループの詳細(名前やカスタム インターセプト プロファイルなど)を表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル グループ] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル グループ] タブで、セキュリティ プロファイル グループの名前をクリックします。
gcloud
セキュリティ プロファイル グループの詳細を表示するには、gcloud
network-security security-profile-groups describe コマンドを使用します。
gcloud network-security security-profile-groups describe SECURITY_PROFILE_GROUP_ID \
--organization ORGANIZATION_ID \
--billing-project BILLING_PROJECT_ID \
--location global
次のように置き換えます。
SECURITY_PROFILE_GROUP_ID: セキュリティ プロファイル グループの ID。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織の ID。BILLING_PROJECT_ID: 割り当てに使用するプロジェクト ID。
出力では、セキュリティ プロファイル グループの名前が organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_ID 形式で表示されます。
セキュリティ プロファイル グループを一覧表示する
組織内のすべてのセキュリティ プロファイル グループを ID とともに一覧表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル グループ] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル グループ] タブには、セキュリティ プロファイル グループのリストが表示されます。
gcloud
セキュリティ プロファイル グループを一覧表示するには、gcloud
network-security security-profile-groups list コマンドを使用します。
gcloud network-security security-profile-groups list \
--organization ORGANIZATION_ID \
--location global \
--billing-project BILLING_PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織の ID。BILLING_PROJECT_ID: 割り当てに使用するプロジェクト ID。
セキュリティ プロファイル グループを削除する
セキュリティ プロファイル グループを削除する前に、そのセキュリティ プロファイル グループを参照するカスタム インターセプト セキュリティ プロファイルを削除します。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル グループ] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル グループ] タブで、セキュリティ プロファイル グループのチェックボックスをオンにして、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
セキュリティ プロファイル グループを削除するには、gcloud network-security
security-profile-groups delete コマンドを使用します。
gcloud network-security security-profile-groups delete SECURITY_PROFILE_GROUP_ID \
--organization ORGANIZATION_ID \
--billing-project BILLING_PROJECT_ID \
--location global
次のように置き換えます。
SECURITY_PROFILE_GROUP_ID: 削除するセキュリティ プロファイル グループの ID。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織の ID。BILLING_PROJECT_ID: 割り当てに使用するプロジェクト ID。