カスタム インターセプト セキュリティ プロファイルを作成して管理する

このページでは、カスタム インターセプト セキュリティ プロファイルを作成して管理する方法について説明します。

始める前に

ロール

カスタム インターセプト セキュリティ プロファイルを作成、表示、更新、削除するために必要な権限を取得するには、組織に必要な IAM ロール の付与を 管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の 管理 をご覧ください

このページに記載されているオペレーションの進行状況を確認するには、ユーザー ロールに次の Compute ネットワーク ユーザー ロールroles/compute.networkUser)の権限が付与されていることを確認してください。

  • networksecurity.operations.get
  • networksecurity.operations.list

カスタム インターセプト セキュリティ プロファイルを作成する

インバンド統合の場合、作成できるセキュリティ プロファイルは custom-intercept タイプのみです。セキュリティ プロファイルは、組織レベルまたはプロジェクト レベルで作成できます(プレビュー)。

コンソール

  1. コンソールで、[セキュリティ プロファイル] ページに移動します。 Google Cloud

    [セキュリティ プロファイル] に移動

  2. プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。

  3. [セキュリティ プロファイル] タブで [プロファイルを作成] をクリックします。

  4. [**名前**] に名前を入力します。

  5. [**セキュリティ プロファイルの目的**] で [**NSI インバンド**] を選択します。

  6. [Project] で、インターセプト エンドポイント グループをホストするプロジェクトを選択します。

  7. [**インターセプト エンドポイント グループ**] で、インターセプト エンドポイント グループを選択します。

  8. [作成] をクリックします。

gcloud

インバンド統合用のカスタム インターセプト セキュリティ プロファイルを作成するには、 gcloud network-security security-profiles custom-intercept create コマンドを使用します。

gcloud network-security security-profiles custom-intercept create CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID] \
    --intercept-endpoint-group \
        projects/ENDPOINT_GROUP_PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID

次のように置き換えます。

Terraform

セキュリティ プロファイルを作成するには、google_network_security_security_profile リソースを使用します。

resource "google_network_security_security_profile" "default" {
  name     = "security-profile"
  type     = "CUSTOM_INTERCEPT"
  parent   = "organizations/${data.google_organization.default.org_id}"
  location = "global"

  custom_intercept_profile {
    intercept_endpoint_group = google_network_security_intercept_endpoint_group.default.id
  }
}

Terraform 構成を適用または削除する方法については、 基本的な Terraform コマンドをご覧ください。

カスタム インターセプト セキュリティ プロファイルのリストを表示して詳細を表示する

組織またはプロジェクト(プレビュー)のセキュリティ プロファイルを一覧表示し、名前やエンドポイント グループ ID などのプロファイルの詳細を表示できます。

コンソール

  1. コンソールで、[セキュリティ プロファイル] ページに移動します。 Google Cloud

    [セキュリティ プロファイル] に移動

  2. プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。 このタブには、すべてのセキュリティ プロファイルが一覧表示されます。

  3. [セキュリティ プロファイル] タブで、セキュリティ プロファイルの名前をクリックします。

gcloud

すべてのカスタム インターセプト セキュリティ プロファイルを一覧表示するには、gcloud network-security security-profiles custom-intercept list コマンドを使用します。

gcloud network-security security-profiles custom-intercept list \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    --location global \
    [--billing-project QUOTA_PROJECT_ID]

カスタム インターセプト セキュリティ プロファイルの詳細を表示するには、 gcloud network-security security-profiles custom-intercept describe コマンドを使用します。

gcloud network-security security-profiles custom-intercept describe CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

次のように置き換えます。

出力は次のようになります。

  • 組織レベルのセキュリティ プロファイル: organizations/ORGANIZATION_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME
  • プロジェクト レベルのセキュリティ プロファイル(プレビュー: projects/PROJECT_ID/locations/global/securityProfiles/CUSTOM_INTERCEPT_PROFILE_NAME

カスタム インターセプト セキュリティ プロファイルを削除する

カスタム インターセプト セキュリティ プロファイルは、名前、ロケーション、組織またはプロジェクトを指定して削除できます。セキュリティ プロファイルを削除する前に、セキュリティ プロファイル グループで使用されていないことを確認してください。

コンソール

  1. コンソールで、[セキュリティ プロファイル] ページに移動します。 Google Cloud

    [セキュリティ プロファイル] に移動

  2. プロジェクト選択ツールから、組織またはプロジェクト(プレビュー)を選択します。

  3. [セキュリティ プロファイル] タブで、セキュリティ プロファイルのチェックボックスをオンにして、[削除] をクリックします。

  4. もう一度 [削除] をクリックして確定します。

gcloud

カスタム インターセプト セキュリティ プロファイルを削除するには、gcloud network-security security-profiles custom-intercept delete コマンドを使用します。

gcloud network-security security-profiles custom-intercept delete CUSTOM_INTERCEPT_PROFILE_NAME \
    --organization ORGANIZATION_ID | --project PROJECT_ID \
    [--billing-project QUOTA_PROJECT_ID] \
    --location global

次のように置き換えます。

次のステップ