セキュリティ プロファイルは、インターセプト ファイアウォール ルールがインターセプトされたトラフィックに適用するカスタムのグローバル ポリシーです。
セキュリティ プロファイルは、Network Security Integration サービスがネットワーク トラフィックを処理する方法を定義します。セキュリティ プロファイルを使用して、エンドポイント グループを Virtual Private Cloud(VPC)ネットワークに関連付けます。ファイアウォール ルールとともに使用すると、セキュリティ プロファイルはネットワーク トラフィックをインターセプト エンドポイント グループに転送します。
このページでは、セキュリティ プロファイルとその機能について詳しく説明します。
仕様
セキュリティ プロファイルの仕様は次のとおりです。
セキュリティ プロファイルは、カスタムのグローバルな組織レベルのリソースです。
セキュリティ プロファイルの名前は次の形式で構成されます。
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_IDたとえば、組織
example-orgのセキュリティ プロファイル グループ IDexample-security-profileの名前はorganizations/example-org/locations/global/securityProfiles/example-security-profileです。セキュリティ プロファイルを作成したら、セキュリティ プロファイル グループに関連付けます。VPC ネットワークのこのネットワーク ファイアウォール ポリシーは、Network Security Integration 内でネットワーク トラフィックを処理するためにセキュリティ プロファイルを参照します。
ネットワーク ファイアウォール ポリシールールに一致するトラフィックは、セキュリティ プロファイルで参照されるエンドポイント グループに送信されます。
各セキュリティ プロファイルをプロジェクト ID に関連付けます。関連付けられたプロジェクトは、セキュリティ プロファイル リソースに対する割り当てに使用されます。
gcloud auth activate-service-accountコマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイルに関連付けることができます。セキュリティ プロファイルの作成方法については、カスタム セキュリティ プロファイルの作成と管理をご覧ください。
Identity and Access Management ロール
次の表は、セキュリティ プロファイルの管理に必要な Identity and Access Management(IAM)ロールを示しています。
| 機能 | 必要なロール |
|---|---|
| カスタム インターセプト セキュリティ プロファイルを作成する | カスタム インターセプト セキュリティ プロファイルが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| カスタム インターセプト セキュリティ プロファイルを変更する | カスタム インターセプト セキュリティ プロファイルが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| 組織のカスタム インターセプト セキュリティ プロファイルの詳細を表示する | カスタム インターセプト セキュリティ プロファイルが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| 組織内のすべてのカスタム インターセプト セキュリティ プロファイルを表示する | カスタム インターセプト セキュリティ プロファイルが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| セキュリティ プロファイル グループでカスタム インターセプト セキュリティ プロファイルを使用する | カスタム インターセプト セキュリティ プロファイルが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
セキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)がない場合は、次の権限を使用してカスタム インターセプト セキュリティ プロファイルを作成できます。
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
IAM 権限と事前定義ロールの詳細については、IAM 権限リファレンスをご覧ください。
割り当て
カスタム インターセプト セキュリティ プロファイルに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。