セキュリティ プロファイル グループは、カスタム セキュリティ プロファイルのコンテナです。ミラーリング ルールは、セキュリティ プロファイル グループを参照して、Network Security Integration 内のネットワーク トラフィックの処理を有効にします。
このドキュメントでは、セキュリティ プロファイル グループとその機能について詳しく説明します。
仕様
セキュリティ プロファイル グループは、グローバル組織レベルまたはプロジェクト レベルのリソースです(プレビュー)。
セキュリティ プロファイル グループの名前は、次の URL 識別子形式で構成されます。
組織レベル:
organizations/ORGANIZATION_ID/locations/global/securityProfileGroups/NAMEプロジェクト レベル(プレビュー):
projects/PROJECT_ID/locations/global/securityProfileGroups/NAME
セキュリティ プロファイル グループの
NAMEは、次の要件を満たす必要があります。- 1~63 文字の文字列
- 小文字の英数字またはハイフン(-)のみを使用している
- 文字で始まる
例:
- 組織レベルのセキュリティ プロファイル グループ:
organizations/2345678432/locations/global/securityProfileGroups/example-security-profile-group。 - プロジェクト レベルのセキュリティ プロファイル グループ(プレビュー):
projects/my-project-123/locations/global/securityProfileGroups/example-security-profile-group。
セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、URL には組織またはプロジェクトとロケーションがすでに含まれています。短縮名のみを指定する場合は、
gcloudコマンドを使用するときに、組織 ID またはプロジェクト ID とロケーションを個別に指定する必要があります。セキュリティ プロファイル グループには、
CUSTOM_MIRRORINGタイプのセキュリティ プロファイルを 1 つだけ追加できます。ミラーリング ルールには、ミラーリング エンドポイントで使用されるセキュリティ プロファイル グループの名前を含める必要があります。
セキュリティ プロファイル グループは、アクション
MIRRORを使用してミラーリング ルールを追加する場合にのみ、パケット ミラーリング ポリシーに適用されます。セキュリティ プロファイル グループは、階層型ファイアウォール ポリシー ルールとグローバル ネットワーク ファイアウォール ポリシー ルールで構成できます。ミラーリング ルールのフラグの方向に応じて、ルールは Virtual Private Cloud(VPC)ネットワーク内の受信トラフィックと送信トラフィックの両方に影響します。ミラーリングされたトラフィックは、構成済みのセキュリティ プロファイル グループで参照されるセキュリティ プロファイルで定義されたミラーリング エンドポイント グループに送信されます。その後、ミラーリング エンドポイント グループは、ミラーリングされたトラフィックをサードパーティのデプロイによって接続されたプロデューサー デプロイ グループにリダイレクトします。
各セキュリティ プロファイル グループにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル グループ リソースに対する割り当てとアクセス制限に使用されます。
gcloud auth activate-service-accountコマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイル グループに関連付けることができます。セキュリティ プロファイル グループを作成する詳しい方法については、セキュリティ プロファイル グループの作成と管理をご覧ください。セキュリティ プロファイル グループにセキュリティ プロファイルを追加する場合は、次の制約が適用されます。
Identity and Access Management ロール
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイル グループを作成する | セキュリティ プロファイル グループを作成する組織またはプロジェクトに対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| セキュリティ プロファイル グループを変更する | セキュリティ プロファイル グループが存在する組織またはプロジェクトに対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| 組織またはプロジェクトのセキュリティ プロファイル グループの詳細を表示する | セキュリティ プロファイル グループが存在する組織またはプロジェクトに対する次のいずれかのロール。
|
| 組織またはプロジェクト内のすべてのセキュリティ プロファイル グループを表示する | セキュリティ プロファイル グループが存在する組織またはプロジェクトに対する次のいずれかのロール。
|
| 組織またはプロジェクトのパケット ミラーリング ポリシー ルールでセキュリティ プロファイル グループを使用する | セキュリティ プロファイル グループが存在する組織またはプロジェクトに対する次のいずれかのロール。
|
セキュリティ プロファイル管理者ロール(roles/networksecurity.securityProfileAdmin)がない場合でも、次の権限を使用してセキュリティ プロファイル グループを作成して管理できます。
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
IAM 権限と事前定義ロールの詳細については、IAM 権限リファレンスをご覧ください。
割り当て
セキュリティ プロファイル グループに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。