インターセプト エンドポイント グループと関連付けの概要

インターセプト エンドポイント グループは、プロジェクト全体で使用できるグローバル リソースです。コンシューマーがプロデューサーのインターセプト サービスにアクセスできるようにします。各インターセプト エンドポイント グループは、プロデューサー側の単一のインターセプト デプロイ グループに関連付けられています。

インターセプト エンドポイント グループの関連付けは、特定のインターセプト エンドポイント グループによって検査されるコンシューマーの VPC ネットワークを表す、プロジェクト全体で使用できるグローバル リソースです。パケット検査が必要な VPC ごとに、コンシューマーはインターセプト エンドポイント グループの関連付けを作成します。

このページでは、インターセプト エンドポイント グループとインターセプト エンドポイント グループの関連付けについて詳しく説明します。

仕様

インターセプト エンドポイント グループの仕様は次のとおりです。

• インターセプト エンドポイント グループは、プロジェクト全体で使用できるグローバル リソースです。

• インターセプト エンドポイント グループの名前は、次の形式で構成されます。

  projects/PROJECT_ID/locations/global/interceptEndpointGroups/ENDPOINT_GROUP_ID
  

  たとえば、プロジェクト example-project のインターセプト エンドポイント グループ example-intercept-endpoint-group の一意の URL 識別子は projects/example-project/locations/global/interceptEndpointGroups/example-intercept-endpoint-group です。

• インターセプト エンドポイント グループの関連付けは、プロジェクト全体で使用できるグローバル リソースです。

• インターセプト エンドポイントの関連付けの名前は、次の形式で構成されます。

  projects/PROJECT_ID/locations/global/interceptEndpointAssociations/ENDPOINT_GROUP_ASSOCIATION_ID
  

  たとえば、プロジェクト example-project のインターセプト エンドポイント関連付け ID example-intercept-endpoint-association の名前は projects/example-project/locations/global/interceptEndpointAssociations/example-intercept-endpoint-association です。

• 組織内の異なるプロジェクトの 1 つ以上の VPC でインターセプト エンドポイント グループを使用できます。

• VPC ネットワークでインターセプトを有効にするには、インターセプト エンドポイント グループの関連付けと必要なファイアウォール ルールを作成します。

Identity and Access Management ロール

次の表に、インターセプト エンドポイント グループの管理に必要な Identity and Access Management（IAM）ロールを示します。

機能	必要なロール
インターセプト エンドポイント グループを作成する	プロジェクトに対するインターセプト エンドポイント管理者ロール（roles/networksecurity.interceptEndpointAdmin）。
既存のインターセプト エンドポイント グループを変更する	プロジェクトに対するインターセプト エンドポイント管理者ロール（roles/networksecurity.interceptEndpointAdmin）。
インターセプト エンドポイント グループの詳細を表示する	プロジェクトに対する次のいずれかのロール: インターセプト エンドポイント管理者のロール（roles/networksecurity.interceptEndpointAdmin） インターセプト エンドポイント閲覧者のロール（roles/networksecurity.interceptEndpointViewer）
すべてのインターセプト エンドポイント グループを表示する	プロジェクトに対する次のいずれかのロール: インターセプト エンドポイント管理者のロール（roles/networksecurity.interceptEndpointAdmin） インターセプト エンドポイント閲覧者のロール（roles/networksecurity.interceptEndpointViewer）

次の表に、インターセプト エンドポイント グループの関連付けの管理に必要な Identity and Access Management（IAM）ロールを示します。

機能	必要なロール
インターセプト エンドポイント グループの関連付けを作成する	インターセプト エンドポイント グループの関連付けが作成されるプロジェクトに対するインターセプト エンドポイント管理者ロール（roles/networksecurity.interceptEndpointAdmin）。 プロジェクトに対するインターセプト エンドポイント ユーザー ロール（roles/networksecurity.interceptEndpointUser）。これは、ユーザーが管理者である VPC をインターセプト エンドポイント グループ（プロジェクト固有のリソースですが、VPC オーナーによって所有されているとは限りません）に関連付ける権限を表します。
既存のインターセプト エンドポイント グループの関連付けを変更する	VPC ネットワークが存在するプロジェクトに対するインターセプト エンドポイント管理者ロール（roles/networksecurity.interceptEndpointAdmin）。
インターセプト エンドポイント グループの関連付けの詳細を表示する	次のいずれかのロール: インターセプト エンドポイント管理者のロール（roles/networksecurity.interceptEndpointAdmin） インターセプト エンドポイント閲覧者のロール（roles/networksecurity.interceptEndpointViewer）
すべてのインターセプト エンドポイント グループの関連付けを表示する	次のいずれかのロール: インターセプト エンドポイント管理者のロール（roles/networksecurity.interceptEndpointAdmin） インターセプト エンドポイント閲覧者のロール（roles/networksecurity.interceptEndpointViewer）

割り当て

インターセプト エンドポイント グループに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。

次のステップ

• インターセプト エンドポイント グループを作成、管理する
• インターセプト エンドポイント グループの関連付けの作成と管理