セキュリティ プロファイル グループの作成と管理

このページでは、カスタム インターセプト セキュリティ プロファイルを使用してセキュリティ プロファイル グループを作成して管理する方法について説明します。

始める前に

ロール

セキュリティ プロファイル グループを作成、表示、更新、削除するために必要な権限を取得するには、組織またはプロジェクトに必要な Identity and Access Management(IAM)ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

このページに記載されているオペレーションの進行状況を確認するには、ユーザー ロールに次の Compute ネットワーク ユーザー ロールroles/compute.networkUser)の権限が付与されていることを確認してください。

  • networksecurity.operations.get
  • networksecurity.operations.list

セキュリティ プロファイル グループを作成する

セキュリティ プロファイル グループは、組織レベルまたはプロジェクト レベルで作成できます(プレビュー)。セキュリティ管理者が所有するプロジェクトにセキュリティ プロファイル グループを作成することをおすすめします。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル グループ] ページに移動します。

    [セキュリティ プロファイル グループ] に移動

  2. プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。

  3. [セキュリティ プロファイル グループ] タブで、[プロファイル グループを作成] をクリックします。

  4. [名前] に、セキュリティ プロファイル グループの名前を入力します。

  5. [セキュリティ プロファイル グループの目的] で、[NSI インバンド] を選択します。

  6. [カスタム インターセプト プロファイル] で、インバンド統合用のカスタム セキュリティ プロファイルを選択します。

  7. [作成] をクリックします。

gcloud

セキュリティ プロファイル グループを作成するには、gcloud network-security security-profile-groups create コマンドを使用します。

gcloud network-security security-profile-groups create SECURITY_PROFILE_GROUP_NAME \
    --custom-intercept-profile CUSTOM_INTERCEPT_PROFILE_ID \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

次のように置き換えます。

  • SECURITY_PROFILE_GROUP_NAME: セキュリティ プロファイル グループの名前。

    一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。

  • CUSTOM_INTERCEPT_PROFILE_ID: カスタム インターセプト セキュリティ プロファイルの ID。

  • ORGANIZATION_ID: 組織の ID。このフラグを使用して、組織レベルのセキュリティ プロファイル グループを作成します。

  • PROJECT_ID: プロジェクト ID。このフラグを使用して、プロジェクト レベルのセキュリティ プロファイル グループ(プレビュー)を作成します。

    --project フラグはプレビュー版でご利用いただけます。このフラグを使用するには、gcloud beta network-security security-profile-groups create コマンドを実行します。

  • QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイル グループにのみ使用します。

Terraform

セキュリティ プロファイル グループを作成するには、google_network_security_security_profile_group リソースを使用します。

resource "google_network_security_security_profile_group" "default" {
  name                     = "security-profile-group"
  parent                   = "organizations/${data.google_organization.default.org_id}"
  location                 = "global"
  custom_intercept_profile = google_network_security_security_profile.default.id
}

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

セキュリティ プロファイル グループの一覧表示と詳細の表示

組織またはプロジェクト(プレビュー)のセキュリティ プロファイル グループを一覧表示し、名前やカスタム インターセプト プロファイルなどのグループの詳細を表示できます。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル グループ] ページに移動します。

    [セキュリティ プロファイル グループ] に移動

  2. プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。このタブには、すべてのセキュリティ プロファイル グループが一覧表示されます。

  3. [セキュリティ プロファイル グループ] タブで、セキュリティ プロファイル グループの名前をクリックして詳細を表示します。

gcloud

セキュリティ プロファイル グループを一覧表示するには、gcloud network-security security-profile-groups list コマンドを使用します。

gcloud network-security security-profile-groups list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID]

セキュリティ プロファイル グループの詳細を表示するには、gcloud network-security security-profile-groups describe コマンドを使用します。

gcloud network-security security-profile-groups describe SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

次のように置き換えます。

  • SECURITY_PROFILE_GROUP_NAME: セキュリティ プロファイル グループの名前。

    一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。

  • ORGANIZATION_ID: セキュリティ プロファイル グループが存在する組織 ID。

  • PROJECT_ID: セキュリティ プロファイル グループが存在するプロジェクト ID。

    --project フラグはプレビュー版でご利用いただけます。このフラグを使用するには、gcloud beta network-security security-profile-groups describe コマンドを実行します。

  • QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイル グループにのみ使用します。

出力には、次の形式でセキュリティ プロファイル グループ名が表示されます。

  • 組織レベルのセキュリティ プロファイル グループ: organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
  • プロジェクト レベルのセキュリティ プロファイル グループ(プレビュー: projects/PROJECT_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME

セキュリティ プロファイル グループを削除する

セキュリティ プロファイル グループを削除する前に、そのセキュリティ プロファイル グループを参照するカスタム インターセプト セキュリティ プロファイルを削除します。

コンソール

  1. Google Cloud コンソールで、[セキュリティ プロファイル グループ] ページに移動します。

    [セキュリティ プロファイル グループ] に移動

  2. プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。

  3. [セキュリティ プロファイル グループ] タブで、セキュリティ プロファイル グループのチェックボックスをオンにして、[削除] をクリックします。

  4. もう一度 [削除] をクリックして確定します。

gcloud

セキュリティ プロファイル グループを削除するには、gcloud network-security security-profile-groups delete コマンドを使用します。

gcloud network-security security-profile-groups delete SECURITY_PROFILE_GROUP_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

次のように置き換えます。

  • SECURITY_PROFILE_GROUP_NAME: 削除するセキュリティ プロファイル グループの名前。

    一意の URL 識別子形式で名前を指定しない場合は、組織またはプロジェクトの名前とロケーションを指定する必要があります。

  • ORGANIZATION_ID: セキュリティ プロファイル グループが存在する組織 ID。

  • PROJECT_ID: セキュリティ プロファイル グループが存在するプロジェクト ID。

    --project フラグはプレビュー版でご利用いただけます。このフラグを使用するには、gcloud beta network-security security-profile-groups delete コマンドを実行します。

  • QUOTA_PROJECT_ID: 割り当てプロジェクト ID。このフラグは、組織レベルのセキュリティ プロファイル グループにのみ使用します。

次のステップ