セキュリティ プロファイル グループは、カスタム インターセプト セキュリティ プロファイルのコンテナです。インターセプト ルールは、セキュリティ プロファイル グループを参照して、Network Security Integration 内のネットワーク トラフィックの処理を有効にします。
このページでは、セキュリティ プロファイル グループとその機能について詳しく説明します。
仕様
セキュリティ プロファイル グループの仕様は次のとおりです。
セキュリティ プロファイル グループは、グローバルな組織レベルのリソースです。
セキュリティ プロファイル グループの名前は、次の形式で構成されます。
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/SECURITY_PROFILE_GROUP_IDたとえば、組織
example-orgのセキュリティ プロファイル グループ IDexample-security-profile-groupの名前はorganizations/example-org/locations/global/securityProfileGroups/example-security-profile-groupです。セキュリティ プロファイル グループに追加できるセキュリティ プロファイルは 1 つだけです。
ファイアウォール ルールには、インターセプト エンドポイントで使用されるセキュリティ プロファイル グループの名前を含める必要があります。
セキュリティ プロファイル グループは、アクション
APPLY_SECURITY_PROFILE_GROUPを使用してファイアウォール ルールを追加する場合にのみ、インバンド統合ファイアウォール ポリシーに適用されます。セキュリティ プロファイル グループは、階層型ファイアウォール ポリシー ルールとグローバル ネットワーク ファイアウォール ポリシー ルールで構成できます。ファイアウォール ルールのフラグの方向によっては、ルールが Virtual Private Cloud(VPC)ネットワーク内の受信トラフィックと送信トラフィックの両方に影響する可能性があります。インターセプトされたトラフィックは、構成済みのセキュリティ プロファイル グループで参照されるセキュリティ プロファイルで定義されたインターセプト エンドポイント グループに送信されます。その後、インターセプト エンドポイント グループは、インターセプトされたトラフィックをネットワーク デプロイによって接続されたプロデューサー デプロイ グループにリダイレクトします。
各セキュリティ プロファイル グループにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは割り当てに使用されます。
gcloud auth activate-service-accountコマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイル グループに関連付けることができます。セキュリティ プロファイル グループの作成方法については、セキュリティ プロファイル グループの作成と管理をご覧ください。
Identity and Access Management ロール
次の表に、セキュリティ プロファイル グループの管理に必要な Identity and Access Management(IAM)ロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイル グループを作成する | セキュリティ プロファイル グループが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| セキュリティ プロファイル グループを変更する | セキュリティ プロファイル グループが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| 組織のセキュリティ プロファイル グループの詳細を表示する | セキュリティ プロファイル グループが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| 組織内のすべてのセキュリティ プロファイル グループを表示する | セキュリティ プロファイル グループが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| インバンド統合ポリシー ルールでセキュリティ プロファイル グループを使用する | セキュリティ プロファイル グループが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
セキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)がない場合は、次の権限を使用してセキュリティ プロファイル グループを作成できます。
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
IAM 権限と事前定義ロールの詳細については、IAM 権限リファレンスをご覧ください。
割り当て
セキュリティ プロファイル グループに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。