セキュリティ プロファイル グループは、カスタム セキュリティ プロファイルのコンテナです。ミラーリング ルールは、セキュリティ プロファイル グループを参照して、Network Security Integration 内のネットワーク トラフィックの処理を有効にします。
このドキュメントでは、セキュリティ プロファイル グループとその機能について詳しく説明します。
仕様
セキュリティ プロファイル グループは組織レベルのリソースです。
セキュリティ プロファイル グループには、
CUSTOM_MIRRORINGタイプのセキュリティ プロファイルを 1 つだけ追加できます。各セキュリティ プロファイル グループは、次の要素を含む URL で一意に識別されます。
- 組織 ID: 組織の ID。
- ロケーション: セキュリティ プロファイル グループのスコープ。ロケーションは常に
globalに設定されます。 - 名前: セキュリティ プロファイル グループ名。次の形式で指定します。
- 1~63 文字の文字列
- 小文字の英数字とハイフン(-)のみを使用
- 先頭は英字にしてください
セキュリティ プロファイル グループの一意の URL 識別子を作成するには、次の形式を使用します。
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME次のように置き換えます。
ORGANIZATION_ID: 組織の ID。LOCATION: セキュリティ プロファイル グループのスコープ。ロケーションは常にglobalに設定されます。SECURITY_PROFILE_GROUP_NAME: セキュリティ プロファイル グループの名前。
たとえば、組織
2345678432のglobalセキュリティ プロファイル グループexample-security-profile-groupには、次のような固有識別子を設定します。organization/2345678432/locations/global/securityProfileGroups/example-security-profile-groupミラーリング ルールには、ミラーリング エンドポイントで使用されるセキュリティ プロファイル グループの名前を含める必要があります。
セキュリティ プロファイル グループは、アクション
MIRRORを使用してミラーリング ルールを追加する場合にのみ、パケット ミラーリング ポリシーに適用されます。セキュリティ プロファイル グループは、階層型ファイアウォール ポリシー ルールとグローバル ネットワーク ファイアウォール ポリシー ルールで構成できます。ミラーリング ルールのフラグの方向に応じて、ルールは Virtual Private Cloud(VPC)ネットワーク内の受信トラフィックと送信トラフィックの両方に影響します。ミラーリングされたトラフィックは、構成済みのセキュリティ プロファイル グループで参照されるセキュリティ プロファイルで定義されたミラーリング エンドポイント グループに送信されます。その後、ミラーリング エンドポイント グループは、ミラーリングされたトラフィックをサードパーティのデプロイによって接続されたプロデューサー デプロイ グループにリダイレクトします。
各セキュリティ プロファイル グループにはプロジェクト ID が関連付けられている必要があります。関連付けられたプロジェクトは、セキュリティ プロファイル グループ リソースに対する割り当てとアクセス制限に使用されます。
gcloud auth activate-service-accountコマンドを使用してサービス アカウントを認証する場合は、サービス アカウントをセキュリティ プロファイル グループに関連付けることができます。セキュリティ プロファイル グループを作成する詳しい方法については、セキュリティ プロファイル グループの作成と管理をご覧ください。
Identity and Access Management ロール
Identity and Access Management(IAM)ロールは、次のセキュリティ プロファイル グループのアクションを管理します。
- 組織でのセキュリティ プロファイル グループの作成
- セキュリティ プロファイル グループの変更または削除
- セキュリティ プロファイル グループの詳細の表示
- 組織内のセキュリティ プロファイル グループの一覧表示
- パケット ミラーリング ポリシー ルールでのセキュリティ プロファイル グループの使用
次の表に、各ステップに必要なロールを示します。
| 機能 | 必要なロール |
|---|---|
| セキュリティ プロファイル グループを作成する | セキュリティ プロファイル グループが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| セキュリティ プロファイル グループを変更する | セキュリティ プロファイル グループが作成される組織に対するセキュリティ プロファイル管理者ロール(networksecurity.securityProfileAdmin)。 |
| 組織のセキュリティ プロファイル グループの詳細を表示する | 組織に対する次のいずれかのロール:
|
| 組織内のすべてのセキュリティ プロファイル グループを表示する | 組織に対する次のいずれかのロール:
|
| パケット ミラーリング ポリシー ルールでセキュリティ プロファイル グループを使用する | 組織に対する次のいずれかのロール:
|
セキュリティ プロファイル管理者ロール(roles/networksecurity.securityProfileAdmin)がない場合は、次の権限を使用してセキュリティ プロファイル グループを作成および管理できます。
networksecurity.securityProfileGroups.createnetworksecurity.securityProfileGroups.deletenetworksecurity.securityProfileGroups.getnetworksecurity.securityProfileGroups.listnetworksecurity.securityProfileGroups.updatenetworksecurity.securityProfileGroups.use
IAM 権限と事前定義ロールの詳細については、IAM 権限リファレンスをご覧ください。
割り当て
セキュリティ プロファイル グループに関連付けられた割り当てを表示するには、割り当てと上限をご覧ください。