セキュリティ プロファイルの概要

セキュリティ プロファイルは、インターセプト ファイアウォール ルールがインターセプトされたトラフィックに適用するカスタム グローバル ポリシーです。

セキュリティ プロファイルは、Network Security Integration サービスがネットワーク トラフィックを処理する方法を定義します。セキュリティ プロファイルを使用して、エンドポイント グループを Virtual Private Cloud（VPC）ネットワークに関連付けます。ファイアウォール ルールとともに使用すると、セキュリティ プロファイルはネットワーク トラフィックをインターセプト エンドポイント グループに転送します。

このページでは、セキュリティ プロファイルとその機能について詳しく説明します。

仕様

セキュリティ プロファイルの仕様は次のとおりです。

• セキュリティ プロファイルの名前は、次の URL 識別子形式で構成されます。

  • 組織レベル: organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME

  • プロジェクト レベル（プレビュー）: projects/PROJECT_ID/locations/global/securityProfiles/NAME

  セキュリティ プロファイルの NAME は、次の要件を満たす必要があります。

  • 1 ～ 63 文字の文字列
  • 小文字の英数字またはハイフン（-）のみを使用している
  • 文字で始まる

  例:

  • 組織レベルのセキュリティ プロファイル: organizations/2345678432/locations/global/securityProfiles/example-security-profile。
  • プロジェクト レベルのセキュリティ プロファイル（プレビュー）: projects/my-project-123/locations/global/securityProfiles/example-security-profile。

  セキュリティ プロファイル名に一意の URL 識別子を使用する場合、URL には組織またはプロジェクトとロケーションがすでに含まれています。 略称のみを指定する場合は、gcloud コマンドを使用するときに、組織 ID またはプロジェクト ID とロケーションを個別に指定する必要があります。

• セキュリティ プロファイルを作成したら、セキュリティ プロファイル グループに関連付けます。 VPC ネットワークのこのネットワーク ファイアウォール ポリシーは、セキュリティ プロファイルを参照して、Network Security Integration 内でネットワーク トラフィックを処理します。

• ネットワーク ファイアウォール ポリシー ルールに一致するトラフィックは、セキュリティ プロファイルで参照される エンドポイント グループ に送信されます。

• 各セキュリティ プロファイルをプロジェクト ID に関連付けます。関連付けられたプロジェクトは、セキュリティ プロファイル リソースの割り当てに使用されます。サービス アカウントを gcloud auth activate-service-account コマンドを使用して認証する場合は、サービス アカウントをセキュリティ プロファイルに関連付けることができます。セキュリティ プロファイルを作成する詳しい方法については、 カスタム セキュリティ プロファイルの作成と管理をご覧ください。

Identity and Access Management ロール

次の表に、セキュリティ プロファイルの管理に必要な Identity and Access Management（IAM）ロールを示します。

機能	必要なロール
カスタム インターセプト セキュリティ プロファイルを作成する	セキュリティ プロファイル管理者ロール（networksecurity.securityProfileAdmin）カスタム セキュリティ プロファイルを作成する組織またはプロジェクトに対する。
カスタム インターセプト セキュリティ プロファイルを変更する	セキュリティ プロファイル管理者ロール（networksecurity.securityProfileAdmin）カスタム セキュリティ プロファイルが存在する組織またはプロジェクトに対する。
組織またはプロジェクト内のカスタム インターセプト セキュリティ プロファイルの詳細を表示する	セキュリティ プロファイル管理者ロール（networksecurity.securityProfileAdmin）カスタム セキュリティ プロファイルが存在する組織またはプロジェクトに対する。
組織またはプロジェクト内のすべてのカスタム インターセプト セキュリティ プロファイルを表示する	セキュリティ プロファイル管理者ロール（networksecurity.securityProfileAdmin）カスタム セキュリティ プロファイルが存在する組織またはプロジェクトに対する。
セキュリティ プロファイル グループでカスタム インターセプト セキュリティ プロファイルを使用する	セキュリティ プロファイル管理者ロール（networksecurity.securityProfileAdmin）カスタム セキュリティ プロファイルが存在する組織またはプロジェクトに対する。

セキュリティ プロファイル管理者ロール（roles/networksecurity.securityProfileAdmin）がない場合は、次の権限でカスタム インターセプト セキュリティ プロファイルを作成できます。

• networksecurity.securityProfiles.create
• networksecurity.securityProfiles.delete
• networksecurity.securityProfiles.get
• networksecurity.securityProfiles.list
• networksecurity.securityProfiles.update
• networksecurity.securityProfiles.use

IAM 権限と 事前定義ロールの詳細については、 IAM 権限のリファレンスをご覧ください。

割り当て

カスタム インターセプト セキュリティ プロファイルに関連付けられた割り当てを表示するには、 割り当てと上限をご覧ください。

次のステップ

• セキュリティ プロファイル グループの作成と管理
• カスタム インターセプト セキュリティ プロファイルの作成と管理