このページでは、カスタム インターセプト セキュリティ プロファイルを作成して管理する方法について説明します。
始める前に
- プロジェクトで Network Security API を有効にします。
- gcloud CLI をインストールします。
ロール
カスタム インターセプト セキュリティ プロファイルを作成、表示、更新、削除するには、組織に必要な IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
このページに記載されているオペレーションの進行状況を確認するには、ユーザー ロールに次の Compute ネットワーク ユーザー ロール(roles/compute.networkUser)の権限が付与されていることを確認してください。
networksecurity.operations.getnetworksecurity.operations.list
カスタム インターセプト セキュリティ プロファイルを作成する
インバンド統合の場合、作成できるセキュリティ プロファイルは custom-intercept タイプのみです。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル] タブで、[プロファイルを作成] をクリックします。
[名前] に名前を入力します。
[セキュリティ プロファイルの目的] で、[NSI インバンド] を選択します。
[プロジェクト] で、インターセプト エンドポイント グループをホストするプロジェクトを選択します。
[インターセプト エンドポイント グループ] で、インターセプト エンドポイント グループを選択します。
[作成] をクリックします。
gcloud
インバンド統合用のカスタム インターセプト セキュリティ プロファイルを作成するには、gcloud network-security security-profiles custom-intercept create コマンドを使用します。
gcloud network-security security-profiles custom-intercept create CUSTOM_INTERCEPT_PROFILE_ID \
--organization ORGANIZATION_ID \
--location global \
--billing-project BILLING_PROJECT_ID \
--intercept-endpoint-group \
projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID
次のように置き換えます。
CUSTOM_INTERCEPT_PROFILE_ID: カスタム インターセプト セキュリティ プロファイルの ID。ORGANIZATION_ID: カスタム インターセプト セキュリティ プロファイルを作成する組織。BILLING_PROJECT_ID: 割り当てに使用するプロジェクト ID。ENDPOINT_GROUP_PROJECT_ID: インターセプト エンドポイント グループを作成したプロジェクト ID。ENDPOINT_GROUP_ID: エンドポイント グループの ID。
Terraform
セキュリティ プロファイルを作成するには、google_network_security_security_profile リソースを使用します。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
カスタム インターセプト セキュリティ プロファイルの詳細を表示する
カスタム インターセプト セキュリティ プロファイルの詳細(名前やエンドポイント グループ ID など)を表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル] タブで、セキュリティ プロファイルの名前をクリックします。
gcloud
カスタム インターセプト セキュリティ プロファイルの詳細を表示するには、gcloud network-security security-profiles custom-intercept describe コマンドを使用します。
gcloud network-security security-profiles custom-intercept describe CUSTOM_INTERCEPT_PROFILE_ID \
--billing-project BILLING_PROJECT_ID \
--location global
次のように置き換えます。
CUSTOM_INTERCEPT_PROFILE_ID: カスタム インターセプト セキュリティ プロファイルの ID。BILLING_PROJECT_ID: 割り当てに使用するプロジェクト ID。
出力では、カスタム インターセプト セキュリティ プロファイルの名前が organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_ID 形式で表示されます。
カスタム インターセプト セキュリティ プロファイルを一覧表示する
組織内のすべてのカスタム インターセプト セキュリティ プロファイル(ID を含む)を一覧表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル] タブで、プロジェクトのすべてのセキュリティ プロファイルを表示します。
gcloud
すべてのカスタム インターセプト セキュリティ プロファイルを一覧表示するには、gcloud
network-security security-profiles custom-intercept list コマンドを使用します。
gcloud network-security security-profiles custom-intercept list \
--organization ORGANIZATION_ID \
--location global \
--billing-project BILLING_PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: カスタム インターセプト セキュリティ プロファイルが作成される組織の ID。BILLING_PROJECT_ID: 割り当てに使用するプロジェクト ID。
カスタム インターセプト セキュリティ プロファイルを削除する
カスタム インターセプト セキュリティ プロファイルは、名前と組織を指定して削除できます。セキュリティ プロファイルを削除する前に、セキュリティ プロファイル グループで使用されていないことを確認してください。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
組織選択ツールから自分の組織を選択します。
[セキュリティ プロファイル] タブで、セキュリティ プロファイルのチェックボックスをオンにして、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
カスタム インターセプト セキュリティ プロファイルを削除するには、gcloud
network-security security-profiles custom-profile delete コマンドを使用します。
gcloud network-security security-profiles custom-profile delete CUSTOM_INTERCEPT_PROFILE_ID \
--organization ORGANIZATION_ID \
--location global \
[--billing-project BILLING_PROJECT_ID]
次のように置き換えます。
CUSTOM_INTERCEPT_PROFILE_ID: 削除するインターセプト セキュリティ プロファイルの ID。ORGANIZATION_ID: インターセプト セキュリティ プロファイルが作成される組織。BILLING_PROJECT_ID: 割り当てに使用するプロジェクト ID。