インターセプト デプロイ グループは、サービス プロデューサーのパケット検査サービスを表すプロジェクト スコープのグローバル リソースです。インターセプト デプロイ グループには、1 つ以上のゾーン インターセプト デプロイが含まれます。サービス コンシューマーは、インターセプト エンドポイント グループを作成するときに、インターセプト デプロイ グループを参照します。
サービス プロデューサー リソースの概要については、サービス プロデューサーをご覧ください。
仕様
インターセプト デプロイ グループの仕様は次のとおりです。
インターセプト デプロイ グループは、プロジェクトごとのグローバル リソースです。
インターセプト デプロイ グループの名前の形式は次のとおりです。
projects/PROJECT_ID/locations/global/interceptDeploymentGroups/DEPLOYMENT_GROUP_IDたとえば、プロジェクト
example-projectの ID がexample-intercept-deployment-groupのインターセプト デプロイ グループの名前はprojects/example-project/locations/global/interceptDeploymentGroups/example-intercept-deployment-groupです。1 つの単一インターセプト デプロイ グループは、複数のコンシューマー インターセプト エンドポイント グループから参照でき、複数の VPC ネットワークからのトラフィックを検査できます。
インターセプト デプロイ グループは、インターセプト デプロイが配置されているゾーンでのみパケット検査機能を提供します。インターセプト デプロイ グループにゾーン内のインターセプト デプロイが含まれていない場合、サービス プロデューサーはそのゾーンでパケット検査を提供しません。
インターセプト デプロイ グループを削除するには、そのインターセプト デプロイ グループ内のすべてのインターセプト デプロイを削除する必要があります。
Identity and Access Management ロール
次の表に、インターセプト デプロイ グループの管理に必要な Identity and Access Management(IAM)ロールを示します。
| 管理タスク | 必要なロール |
|---|---|
| インターセプト デプロイ グループを作成する | インターセプト デプロイ グループが作成されるプロジェクトに対するインターセプト デプロイ管理者ロール(networksecurity.interceptDeploymentAdmin)。 |
| 既存のインターセプト デプロイ グループを変更する | インターセプト デプロイ グループが作成されるプロジェクトに対するインターセプト デプロイ管理者ロール(networksecurity.interceptDeploymentAdmin)。 |
| プロジェクト内のインターセプト デプロイ グループの詳細を表示する | プロジェクトに対する次のいずれかのロール:
|
| プロジェクト内のすべてのインターセプト デプロイ グループを表示する | プロジェクトに対する次のいずれかのロール:
|
| インターセプト デプロイ グループを削除する | プロジェクトに対するインターセプト デプロイ管理者ロール(networksecurity.interceptDeploymentAdmin)。 |
| インターセプト デプロイ グループを使用する(サービス コンシューマーの場合) | プロジェクトに対するインターセプト デプロイ外部ユーザーのロール(networksecurity.interceptDeploymentExternalUser)。 |
割り当て
インターセプト デプロイ グループに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。