セキュリティ プロファイル グループは、カスタム インターセプト セキュリティ プロファイルのコンテナです。インターセプト ルールは、セキュリティ プロファイル グループを参照して、Network Security Integration 内のネットワーク トラフィックの処理を有効にします。
このページでは、セキュリティ プロファイル グループとその機能について詳しく説明します。
仕様
セキュリティ プロファイル グループには次の仕様があります。
セキュリティ プロファイル グループは、組織レベルまたは プロジェクト レベルのグローバル リソースです(プレビュー)。
セキュリティ プロファイル グループの名前は、次の URL 識別子形式で構成されます。
組織レベル:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMEプロジェクト レベル(プレビュー):
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
セキュリティ プロファイル グループの
NAMEは、次の要件を満たす必要があります。- 1 ~ 63 文字の文字列
- 小文字の英数字またはハイフン(-)のみを使用している
- 文字で始まる
例:
- 組織レベルのセキュリティ プロファイル グループ:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group。 - プロジェクト レベルのセキュリティ プロファイル グループ(プレビュー):
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group。
セキュリティ プロファイル グループ名に一意の URL 識別子を使用する場合、URL には組織またはプロジェクトとロケーションがすでに含まれています。 略称のみを指定する場合は、
gcloudコマンドを使用するときに、組織 ID またはプロジェクト ID とロケーションを個別に指定する必要があります。セキュリティ プロファイル グループに追加できるセキュリティ プロファイルは 1 つだけです。
ファイアウォール ルールには、インターセプト エンドポイントで使用されるセキュリティ プロファイル グループの名前を含める必要があります。
セキュリティ プロファイル グループは、アクション
APPLY_SECURITY_PROFILE_GROUPを使用してファイアウォール ルールを追加する場合にのみ、インバンド統合ファイアウォール ポリシーに適用されます。 セキュリティ プロファイル グループは、階層型ファイアウォール ポリシー ルールとグローバル ネットワーク ファイアウォール ポリシー ルールで構成できます。ファイアウォール ルールのフラグの方向に応じて、ルールは Virtual Private Cloud(VPC)ネットワーク内の受信トラフィックと送信トラフィックの両方に影響する可能性があります。インターセプトされたトラフィックは、構成済みのセキュリティ プロファイル グループで参照されるセキュリティ プロファイルで定義されたインターセプト エンドポイント グループに送信されます。その後、インターセプト エンドポイント グループは、インターセプトされたトラフィックを、ネットワーク デプロイによって接続されたプロデューサー デプロイ グループにリダイレクトします。
各セキュリティ プロファイル グループにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは割り当てに使用されます。コマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイル グループに関連付けることができます。
gcloud auth activate-service-accountセキュリティ プロファイル グループを作成する詳しい方法については、セキュリティ プロファイル グループの作成と管理をご覧ください。セキュリティ プロファイル グループにセキュリティ プロファイルを追加する場合は、次の制約が適用されます。
Identity and Access Management ロール
次の表に、セキュリティ プロファイル グループの管理に必要な Identity and Access Management(IAM)ロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイル グループを作成する | セキュリティ プロファイル グループを作成する組織またはプロジェクトに対する
セキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| セキュリティ プロファイル グループを変更する | セキュリティ
プロファイル管理者ロール(networksecurity.securityProfileAdmin)
セキュリティ プロファイル グループが存在する組織またはプロジェクトに対する
。 |
| 組織またはプロジェクトのセキュリティ プロファイル グループの詳細を表示する | セキュリティ
プロファイル管理者ロール(networksecurity.securityProfileAdmin)
セキュリティ プロファイル グループが存在する組織またはプロジェクトに対する
。 |
| 組織またはプロジェクト内のすべてのセキュリティ プロファイル グループを表示する | セキュリティ
プロファイル管理者ロール(networksecurity.securityProfileAdmin)
セキュリティ プロファイル グループが存在する組織またはプロジェクトに対する
。 |
| 組織またはプロジェクトのインバンド統合ポリシー ルールでセキュリティ プロファイル グループを使用する | セキュリティ
プロファイル管理者ロール(networksecurity.securityProfileAdmin)
セキュリティ プロファイル グループが存在する組織またはプロジェクトに対する
。 |
セキュリティ プロファイル管理者ロール
(networksecurity.securityProfileAdmin)がない場合は、次の権限でセキュリティ
プロファイル グループを作成できます。
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
IAM の権限と事前定義ロールの詳細については、 IAM の権限のリファレンスをご覧ください。
割り当て
セキュリティ プロファイル グループに関連付けられた割り当てを表示するには、 割り当てと上限をご覧ください。