Utiliser des stratégies et des règles de pare-feu hiérarchiques

Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Présentation des stratégies de pare-feu hiérarchiques. Pour consulter des exemples de mises en œuvre de stratégies de pare-feu hiérarchiques, consultez la section Exemples de stratégies de pare-feu hiérarchiques.

Limites

Les règles des stratégies de pare-feu hiérarchiques ne permettent pas d'utiliser des tags réseau pour définir des cibles. Vous devez plutôt utiliser un réseau de cloud privé virtuel (VPC) cible ou un compte de service cible.
Les stratégies de pare-feu peuvent être appliquées au niveau du dossier et de l'organisation, mais pas au niveau du réseau VPC. Les stratégies de pare-feu VPC standards sont acceptées pour les réseaux VPC.
Une seule stratégie de pare-feu peut être associée à une ressource (dossier ou organisation), bien que les instances de machine virtuelle (VM) d'un dossier puissent hériter des règles de la hiérarchie de ressources complète au-dessus de la VM.
La journalisation des règles de pare-feu est compatible avec les règles allow et deny, mais pas avec les règles goto_next.
Le protocole IPv6 Hop-by-Hop n'est pas compatible avec les règles de pare-feu.

Tâches liées aux stratégies de pare-feu

Cette section explique comment créer et gérer des règles de pare-feu hiérarchiques.

Pour vérifier la progression d'une opération résultant d'une tâche listée dans cette section, assurez-vous que votre compte principal IAM dispose des autorisations ou des rôles suivants en plus de ceux requis pour chaque tâche.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur l'organisation

Créer des règles de pare-feu

Lorsque vous créez une stratégie de pare-feu hiérarchique, vous pouvez définir son parent sur l'organisation ou sur un dossier de l'organisation. Après avoir créé la stratégie, vous pouvez l'associer à l'organisation ou à un dossier de l'organisation.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.create

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur l'organisation ou le dossier dans lequel vous souhaitez créer la règle
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur l'organisation ou le dossier dans lequel vous souhaitez créer la règle

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu de sélection du projet, sélectionnez l'ID de votre organisation ou un dossier au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Dans le champ Nom de la règle, saisissez un nom pour la règle.
Facultatif : Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer.
Dans la section Ajouter des règles, cliquez sur Créer une règle de pare-feu. Pour en savoir plus sur la création de règles de pare-feu, consultez les ressources suivantes :
- Créer une règle d'entrée pour les cibles de VM
- Créer une règle de sortie pour les cibles de VM
Facultatif : Si vous souhaitez associer la stratégie à une ressource, cliquez sur Continuer.
Dans la section Associer la stratégie à des ressources, cliquez sur Ajouter.

Pour en savoir plus, consultez Associer une stratégie à l'organisation ou au dossier.
Cliquez sur Créer.

gcloud

Exécutez ces commandes pour créer une stratégie de pare-feu hiérarchique dont le parent est une organisation :

gcloud compute firewall-policies create \
    --organization ORG_ID \
    --short-name SHORT_NAME

Exécutez ces commandes pour créer une stratégie de pare-feu hiérarchique dont le parent est un dossier au sein d'une organisation :

gcloud compute firewall-policies create \
    --folder FOLDER_ID \
    --short-name SHORT_NAME

Remplacez les éléments suivants :

ORG_ID : ID de votre organisation.

Spécifiez un ID d'organisation pour créer une règle dont le parent est une organisation. La règle peut être associée à l'organisation ou à un dossier de l'organisation.
SHORT_NAME : nom de la règle

Une stratégie créée en utilisant Google Cloud CLI possède deux noms : un nom généré par le système et un nom court que vous spécifiez. Lorsque vous mettez à jour une stratégie existante à l'aide de gcloud CLI, vous pouvez indiquer le nom généré par le système ou utiliser le nom court accompagné de l'ID d'organisation. Lorsque vous utilisez l'API pour mettre à jour la stratégie, vous devez fournir le nom généré par le système.
FOLDER_ID : ID d'un dossier

Spécifiez un ID de dossier pour créer une stratégie dont le parent est un dossier. La stratégie peut être associée à l'organisation contenant le dossier ou à n'importe quel dossier de cette organisation.

Associer une stratégie à l'organisation ou au dossier

Lorsque vous associez une stratégie de pare-feu hiérarchique à une organisation ou à un dossier d'une organisation, les règles de la stratégie de pare-feu (à l'exception des règles désactivées et en fonction de la cible de chaque règle) s'appliquent aux ressources des réseaux VPC dans les projets de l'organisation ou du dossier associés.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.use
compute.organizations.setFirewallPolicy

Rôles

Administrateur des ressources de l'organisation Compute (roles/compute.orgSecurityResourceAdmin) sur l'organisation ou le dossier auxquels la règle de pare-feu doit s'appliquer
et l'un des rôles suivants :
- Administrateur de réseaux Compute (roles/compute.networkAdmin) sur la règle de pare-feu, ou sur l'organisation ou le dossier contenant la règle de pare-feu
- Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la règle de pare-feu, ou sur l'organisation ou le dossier qui contient la règle de pare-feu
- Utilisateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyUser ) sur la règle de pare-feu, l'organisation ou le dossier qui contient la règle de pare-feu
- Administrateur des règles de sécurité de l'organisation Compute (roles/compute.orgSecurityPolicyAdmin) sur la règle de pare-feu, ou sur l'organisation ou le dossier qui contient la règle de pare-feu
- Utilisateur des règles de sécurité de l'organisation Compute (roles/compute.orgSecurityPolicyUser) sur la règle de pare-feu, l'organisation ou le dossier contenant la règle de pare-feu
- Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la règle de pare-feu, ou sur l'organisation ou le dossier contenant la règle de pare-feu

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter une association.
Sélectionnez l'organisation racine ou sélectionnez des dossiers au sein de celle-ci.
Cliquez sur Ajouter.

gcloud

Par défaut, si vous essayez d'insérer une association à une organisation ou un dossier déjà associé, la méthode échoue. Si vous spécifiez l'option --replace-association-on-target, l'association existante est supprimée au moment où la nouvelle association est créée. Cela permet d'éviter que la ressource se retrouve sans stratégie pendant la transition.

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Remplacez les éléments suivants :

POLICY_NAME : le nom court ou le nom généré par le système de la stratégie
ORG_ID : ID de votre organisation.
FOLDER_ID : si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie à l'organisation.
ASSOCIATION_NAME : nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "organisation ORG_ID" ou "dossier FOLDER_ID".

Déplacer une stratégie d'une ressource à une autre

Déplacer une règle ne modifie que son parent. Si vous modifiez le parent de la stratégie, vous risquez de modifier les entités principales IAM qui peuvent créer et mettre à jour des règles dans la stratégie, ainsi que celles qui peuvent créer des associations à l'avenir.

Le déplacement d'une stratégie n'a aucune incidence sur les associations de stratégies existantes ni sur l'évaluation des règles de la stratégie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.move

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la nouvelle ressource parente (organisation ou dossier) et sur la ressource parente précédente ou sur la stratégie elle-même
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la nouvelle ressource parente (organisation ou dossier) et sur la ressource parente précédente ou la stratégie elle-même

Console

Utilisez Google Cloud CLI pour cette procédure.

gcloud

Exécutez les commandes suivantes pour déplacer la stratégie de pare-feu hiérarchique vers une organisation :

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID

Exécutez ces commandes pour déplacer la stratégie de pare-feu hiérarchique vers un dossier d'une organisation :

gcloud compute firewall-policies move POLICY_NAME \
    --folder FOLDER_ID

Remplacez les éléments suivants :

POLICY_NAME : nom court ou nom généré par le système de la stratégie que vous déplacez.
ORG_ID : ID de l'organisation vers laquelle la règle est déplacée
FOLDER_ID : ID du dossier vers lequel la règle est déplacée

Mettre à jour la description d'une stratégie

Seul le champ Description peut être mis à jour pour la stratégie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur Modifier.
Modifiez la description.
Cliquez sur Enregistrer.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Règles de liste

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.list

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Utilisateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyUser) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

Pour une organisation, la section Stratégies de pare-feu associées à cette organisation affiche les stratégies associées. La section Stratégies de pare-feu situées dans cette organisation répertorie les stratégies appartenant à l'organisation.

Pour un dossier, la section Stratégies de pare-feu associées à ce dossier ou dont ce dossier a hérité affiche les stratégies associées ou dont le dossier a hérité. La section Stratégies de pare-feu situées dans ce dossier répertorie les stratégies appartenant au dossier.

Remarque : Les stratégies appartenant à une ressource (organisation ou dossier) peuvent ne pas être associées à cette ressource, mais peuvent être associées à cette ressource ou à d'autres ressources.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Décrire une stratégie

Vous pouvez afficher des informations sur une stratégie de pare-feu hiérarchique, y compris les règles de la stratégie et les attributs de règle associés. Tous ces attributs de règle sont comptabilisés dans le quota d'attributs de règle. Pour en savoir plus, consultez "Attributs de règle par stratégie de pare-feu hiérarchique" dans le tableau Par stratégie de pare-feu.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.get

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Utilisateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyUser) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Supprimer une stratégie

Avant de pouvoir supprimer une stratégie de pare-feu hiérarchique, vous devez supprimer toutes ses associations.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.delete

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie que vous souhaitez supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer l'association.
Une fois toutes les associations supprimées, cliquez sur Supprimer.

gcloud

Exécutez la commande suivante pour supprimer la règle :

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Répertorier les associations pour une ressource

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.organizations.listAssociations

Rôles

Administrateur des ressources Compute de l'organisation (roles/compute.orgSecurityResourceAdmin) sur la ressource parente (organisation ou dossier) contenant la stratégie ou sur la stratégie elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Pour la ressource sélectionnée (organisation ou dossier), la liste des règles associées et héritées s'affiche.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Supprimer une association

Si vous devez modifier la stratégie de pare-feu hiérarchique associée à une organisation ou à un dossier, nous vous recommandons d'associer une nouvelle stratégie au lieu de supprimer une stratégie associée existante. Vous pouvez associer une nouvelle stratégie en une seule étape, ce qui permet de s'assurer qu'une stratégie de pare-feu hiérarchique est toujours associée à l'organisation ou au dossier.

Pour supprimer l'association entre une stratégie de pare-feu hiérarchique et une organisation ou un dossier, suivez les étapes décrites dans cette section. Les règles de la stratégie de pare-feu hiérarchique ne s'appliquent pas aux nouvelles connexions une fois son association supprimée.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.organizations.setFirewallPolicy

Rôles

Administrateur des ressources Compute de l'organisation (roles/compute.orgSecurityResourceAdmin) sur la ressource parente (organisation ou dossier) à laquelle la règle est associée

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer l'association.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tâches liées aux règles des stratégies de pare-feu

Cette section explique comment créer et gérer des règles de stratégie de pare-feu hiérarchique.

Créer une règle d'entrée pour les cibles de VM

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la règle de pare-feu, l'organisation ou le dossier qui contient la règle
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la règle de pare-feu, l'organisation ou le dossier contenant la règle

Cette section explique comment créer une règle d'entrée qui s'applique aux interfaces réseau des instances Compute Engine.

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans la liste des sélecteurs de projet, sélectionnez une organisation ou un dossier contenant une stratégie de pare-feu hiérarchique.
Si nécessaire, dans la section Index de hiérarchie, sélectionnez un dossier enfant.
Dans la section Stratégies de pare-feu, cliquez sur le nom d'une stratégie de pare-feu hiérarchique dans laquelle vous souhaitez créer une règle.
Dans la section Règles de pare-feu, cliquez sur Créer une règle de pare-feu, puis spécifiez les paramètres de configuration suivants :
1. Priorité : ordre d'évaluation numérique de la règle.
  
  Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
2. Description : vous pouvez éventuellement indiquer une description.
3. Sens du trafic : sélectionnez Entrée.
4. Action en cas de correspondance : sélectionnez l'une des options suivantes :
  - Autoriser : pour autoriser les connexions correspondant aux paramètres de la règle.
  - Refuser : pour bloquer les connexions correspondant aux paramètres de la règle.
  - Passer à la suivante : pour poursuivre le processus d'évaluation des règles de pare-feu.
  - Appliquer un groupe de profils de sécurité : envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception en fonction de la finalité que vous sélectionnez.
    - Pour envoyer des paquets à un point de terminaison de pare-feu Cloud NGFW, sélectionnez Cloud NGFW Enterprise, puis un groupe de profils de sécurité. Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
    - Pour envoyer des paquets à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration en bande, sélectionnez NSI In-Band (NSI en bande), puis sélectionnez un groupe de profils de sécurité.
5. Journaux : sélectionnez Activé pour activer la journalisation des règles de pare-feu ou Désactivé pour la désactiver pour cette règle.
6. Réseaux cibles : si vous le souhaitez, pour que la stratégie de pare-feu s'applique aux cibles de réseaux VPC spécifiques, cliquez sur Ajouter un réseau, puis sélectionnez le projet et le réseau.
7. Cible : sélectionnez l'une des options suivantes :
  - Appliquer à tous : Cloud NGFW utilise les cibles d'instance les plus larges.
  - Comptes de service : limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent le compte de service que vous spécifiez dans Compte de service cible.
  - Tags sécurisés : limitent les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé que vous spécifiez. Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet contenant les valeurs de tag à faire correspondre. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
8. Type de réseau source : spécifiez un type de réseau :
  - Pour ne pas filtrer le trafic entrant par type de réseau, sélectionnez Tous les types de réseaux.
  - Pour filtrer le trafic entrant vers un type de réseau spécifique, sélectionnez Type de réseau spécifique, puis choisissez un type de réseau :
    - Internet : le trafic entrant doit correspondre au type de réseau Internet pour les paquets entrants.
    - Hors Internet : le trafic entrant doit correspondre au type de réseau hors Internet pour les paquets entrants.
    - Intra-VPC : le trafic entrant doit correspondre aux critères du type de réseau intra-VPC.
    - Réseaux VPC : le trafic entrant doit correspondre au type de critère "Réseaux VPC". Vous devez sélectionner au moins un réseau VPC :
      - Sélectionner le projet actuel : vous permet d'ajouter un ou plusieurs réseaux VPC à partir du projet contenant la stratégie de pare-feu.
      - Saisir manuellement le réseau : vous permet de saisir manuellement un projet et un réseau VPC.
      - Sélectionner un projet : vous permet de sélectionner un projet à partir duquel vous pouvez sélectionner un réseau VPC.
9. Filtres sources : spécifiez des paramètres sources supplémentaires. Certains paramètres de source ne peuvent pas être utilisés ensemble. De plus, le type de réseau source que vous choisissez limite les paramètres de source que vous pouvez utiliser. Pour en savoir plus, consultez Sources pour les règles d'entrée et Combinaisons de sources pour les règles d'entrée.
  - Pour filtrer le trafic entrant par plages IPv4 sources, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
  - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez ::/0 pour n'importe quelle source IPv6.
  - Pour filtrer le trafic entrant par valeurs de tag sécurisé source, sélectionnez Sélectionner le champ d'application des tags dans la section Tags sécurisés. Indiquez ensuite les clés et les valeurs de tag. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
  - Pour filtrer le trafic entrant par nom de domaine complet source, saisissez les noms de domaine complets dans le champ Noms de domaine complets. Pour en savoir plus, consultez Objets de nom de domaine complet.
  - Pour filtrer le trafic entrant par géolocalisation source, sélectionnez un ou plusieurs emplacements dans le champ Géolocalisations. Pour en savoir plus, consultez Objets de géolocalisation.
  - Pour filtrer le trafic entrant par groupe d'adresses sources, sélectionnez un ou plusieurs groupes d'adresses dans le champ Groupes d'adresses. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.
  - Pour filtrer le trafic entrant par listes Google Threat Intelligence sources, sélectionnez une ou plusieurs listes Google Threat Intelligence dans le champ Google Cloud Threat Intelligence. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
10. Destination : spécifiez les paramètres de destination facultatifs. Pour en savoir plus, consultez Destinations des règles d'entrée.
  - Pour ignorer le filtrage du trafic entrant par adresse IP de destination, sélectionnez Aucun.
  - Pour filtrer le trafic entrant par adresse IP de destination, sélectionnez IPv4 ou IPv6, puis saisissez un ou plusieurs CIDR au même format que celui utilisé pour les plages IPv4 ou IPv6 sources.
11. Protocoles et ports : spécifiez les protocoles et les ports de destination pour que le trafic corresponde à la règle. Pour en savoir plus, consultez Protocoles et ports.
12. Application : indiquez si la règle de pare-feu est appliquée ou non :
  - Activée : crée la règle et commence à l'appliquer aux nouvelles connexions.
  - Désactivé : crée la règle, mais ne l'applique pas aux nouvelles connexions.
Cliquez sur Créer.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=INGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--src-network-type=SRC_NETWORK_TYPE] \
    [--src-networks=SRC_VPC_NETWORKS] \
    [--src-ip-ranges=SRC_IP_RANGES] \
    [--src-address-groups=SRC_ADDRESS_GROUPS] \
    [--src-fqdns=SRC_DOMAIN_NAMES] \
    [--src-secure-tags=SRC_SECURE_TAGS] \
    [--src-region-codes=SRC_COUNTRY_CODES] \
    [--src-threat-intelligence=SRC_THREAT_LIST_NAMES] \
    [--dest-ip-ranges=DEST_IP_RANGES]

Remplacez les éléments suivants :

PRIORITY : ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
POLICY_NAME : nom de la stratégie de pare-feu hiérarchique dans laquelle vous souhaitez créer la règle.
ORG_ID : ID de l'organisation contenant la stratégie de pare-feu hiérarchique, si son parent est une organisation.
FOLDER_ID : ID du dossier contenant la stratégie de pare-feu hiérarchique, si son parent est un dossier.
DESCRIPTION : description facultative de la nouvelle règle.
ACTION : spécifiez l'une des actions suivantes :
- allow : autorise les connexions correspondant à la règle.
- deny : refuse les connexions correspondant à la règle.
- goto_next : poursuit le processus d'évaluation des règles de pare-feu.
- apply_security_profile_group : envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception.
  - Lorsque l'action est apply_security_profile_group, vous devez inclure --security-profile-group SECURITY_PROFILE_GROUP, où SECURITY_PROFILE_GROUP est le nom d'un groupe de profils de sécurité.
  - Le profil de sécurité du groupe de profils de sécurité peut faire référence à un point de terminaison de pare-feu Cloud NGFW ou à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration intrabande.
  - Si le profil de sécurité du groupe de profils de sécurité fait référence à un point de terminaison de pare-feu Cloud NGFW, incluez --tls-inspect ou --no-tls-inspect pour activer ou désactiver l'inspection TLS.
Les indicateurs --enable-logging et --no-enable-logging activent ou désactivent la journalisation des règles de pare-feu.
Les indicateurs --disabled et --no-disabled permettent de déterminer si la règle est désactivée (non appliquée) ou activée (appliquée).
Spécifiez une cible :
- Si vous omettez les indicateurs --target-resources, --target-secure-tags et --target-service-accounts, Cloud NGFW utilise les cibles d'instance les plus larges.
- TARGET_NETWORKS : liste de réseaux VPC séparés par des virgules, spécifiés par leurs URL de ressources réseau au format https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. L'indicateur --target-resources peut être utilisé seul ou en combinaison avec un autre indicateur cible. Pour en savoir plus, consultez Combinaisons de cibles spécifiques.
- TARGET_SECURE_TAGS : liste de valeurs de tags sécurisés séparées par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé.
- TARGET_SERVICE_ACCOUNTS : liste de comptes de service séparés par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent l'un des comptes de service.
LAYER_4_CONFIGS : liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :
- Nom de protocole IP (tcp) ou numéro de protocole IP IANA (17) sans port de destination.
- Nom du protocole IP et port de destination séparés par un deux-points (tcp:80).
- Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
Spécifiez une source pour la règle d'entrée. Pour en savoir plus, consultez Combinaisons de sources pour les règles d'entrée :
- SRC_NETWORK_TYPE : définit les types de réseaux sources à utiliser conjointement avec un autre paramètre de source compatible pour produire une combinaison de sources. Les valeurs valides lorsque --target-type=INSTANCES est défini sont INTERNET, NON_INTERNET, VPC_NETWORKS ou INTRA_VPC. Pour en savoir plus, consultez Types de réseaux.
- SRC_VPC_NETWORKS : liste de réseaux VPC séparés par des virgules et spécifiés par leurs identifiants d'URL. Spécifiez cet indicateur uniquement lorsque --src-network-type est VPC_NETWORKS.
- SRC_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.
- SRC_ADDRESS_GROUPS : liste de groupes d'adresses séparés par une virgule et spécifiés par leurs identifiants d'URL uniques. Les groupes d'adresses de la liste doivent contenir toutes les adresses IPv4 ou toutes les adresses IPv6, et non une combinaison des deux.
- SRC_DOMAIN_NAMES : liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.
- SRC_SECURE_TAGS : liste de tags séparés par une virgule. Vous ne pouvez pas utiliser le flag --src-secure-tags si --src-network-type est défini sur INTERNET.
- SRC_COUNTRY_CODES : liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation. Vous ne pouvez pas utiliser l'option --src-region-codes si --src-network-type est défini sur NON_INTERNET, VPC_NETWORKS ou INTRA_VPC.
- SRC_THREAT_LIST_NAMES : liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu. Vous ne pouvez pas utiliser l'option --src-threat-intelligence si --src-network-type est défini sur NON_INTERNET, VPC_NETWORKS ou INTRA_VPC.
Si vous le souhaitez, spécifiez une destination pour la règle d'entrée :
- DEST_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.

Créer une règle de sortie pour les cibles de VM

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la règle de pare-feu, l'organisation ou le dossier qui contient la règle
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la règle de pare-feu, l'organisation ou le dossier contenant la règle

Les instructions suivantes expliquent comment créer une règle de sortie. Les règles de sortie ne s'appliquent qu'aux cibles qui sont des interfaces réseau d'instances Compute Engine.

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans la liste des sélecteurs de projet, sélectionnez une organisation ou un dossier contenant une stratégie de pare-feu hiérarchique.
Si nécessaire, dans la section Index de hiérarchie, sélectionnez un dossier enfant.
Dans la section Stratégies de pare-feu, cliquez sur le nom d'une stratégie de pare-feu hiérarchique dans laquelle vous souhaitez créer une règle.
Dans la section Règles de pare-feu, cliquez sur Créer une règle de pare-feu, puis spécifiez les paramètres de configuration suivants :
1. Priorité : ordre d'évaluation numérique de la règle.
  
  Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
2. Description : vous pouvez éventuellement indiquer une description.
3. Sens du trafic : sélectionnez Sortie.
4. Action en cas de correspondance : sélectionnez l'une des options suivantes :
  - Autoriser : pour autoriser les connexions correspondant aux paramètres de la règle.
  - Refuser : pour bloquer les connexions correspondant aux paramètres de la règle.
  - Passer à la suivante : pour poursuivre le processus d'évaluation des règles de pare-feu.
  - Appliquer un groupe de profils de sécurité : envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception en fonction de la finalité que vous sélectionnez.
    - Pour envoyer des paquets à un point de terminaison de pare-feu Cloud NGFW, sélectionnez Cloud NGFW Enterprise, puis un groupe de profils de sécurité. Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
    - Pour envoyer des paquets à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration en bande, sélectionnez NSI In-Band (NSI en bande), puis sélectionnez un groupe de profils de sécurité.
5. Journaux : sélectionnez Activé pour activer la journalisation des règles de pare-feu ou Désactivé pour la désactiver pour cette règle.
6. Réseaux cibles : si vous le souhaitez, pour que la stratégie de pare-feu s'applique aux cibles de réseaux VPC spécifiques, cliquez sur Ajouter un réseau, puis sélectionnez le projet et le réseau.
7. Cible : sélectionnez l'une des options suivantes :
  - Appliquer à tous : Cloud NGFW utilise les cibles d'instance les plus larges.
  - Comptes de service : limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent le compte de service que vous spécifiez dans Compte de service cible.
  - Tags sécurisés : limitent les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé que vous spécifiez. Cliquez sur Sélectionner le champ d'application des tags, puis sélectionnez l'organisation ou le projet contenant les valeurs de tag à faire correspondre. Pour ajouter des valeurs de tag, cliquez sur Ajouter un tag.
8. Type de réseau de destination : spécifiez un type de réseau :
  - Pour ne pas filtrer le trafic sortant par type de réseau, sélectionnez Tous les types de réseaux.
  - Pour filtrer le trafic sortant vers un type de réseau spécifique, sélectionnez Type de réseau spécifique, puis sélectionnez un type de réseau :
    - Internet : le trafic sortant doit correspondre au type de réseau Internet pour les paquets de sortie.
    - Non Internet : le trafic sortant doit correspondre au type de réseau non Internet pour les paquets de sortie.
9. Filtres de destination : spécifiez des paramètres de destination supplémentaires. Certains paramètres de destination ne peuvent pas être utilisés ensemble. De plus, le type de réseau de destination que vous choisissez limite les filtres de destination que vous pouvez utiliser. Pour en savoir plus, consultez Destinations pour les règles de sortie et Combinaisons de destinations pour les règles de sortie.
  - Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plages d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
  - Pour filtrer le trafic sortant par plages IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plages IPv6. Utilisez ::/0 pour n'importe quelle destination IPv6.
  - Pour filtrer le trafic sortant par nom de domaine complet de destination, saisissez les noms de domaine complets dans le champ Noms de domaine complets. Pour en savoir plus, consultez Objets de nom de domaine complet.
  - Pour filtrer le trafic sortant par géolocalisation de destination, sélectionnez un ou plusieurs emplacements dans le champ Géolocalisations. Pour en savoir plus, consultez Objets de géolocalisation.
  - Pour filtrer le trafic sortant par groupe d'adresses de destination, sélectionnez un ou plusieurs groupes d'adresses dans le champ Groupes d'adresses. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.
  - Pour filtrer le trafic sortant par listes Google Threat Intelligence de destination, sélectionnez une ou plusieurs listes Google Threat Intelligence dans le champ Google Cloud Threat Intelligence. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
10. Source : spécifiez les paramètres de source facultatifs. Pour en savoir plus, consultez Sources pour les règles de sortie.
  - Pour ne pas filtrer le trafic sortant par adresse IP source, sélectionnez Aucun.
  - Pour filtrer le trafic sortant par adresse IP source, sélectionnez IPv4 ou IPv6, puis saisissez un ou plusieurs CIDR en utilisant le même format que pour les plages IPv4 ou IPv6 de destination.
11. Protocoles et ports : spécifiez les protocoles et les ports de destination pour que le trafic corresponde à la règle. Pour en savoir plus, consultez Protocoles et ports.
12. Application : indiquez si la règle de pare-feu est appliquée ou non :
  - Activée : crée la règle et commence à l'appliquer aux nouvelles connexions.
  - Désactivé : crée la règle, mais ne l'applique pas aux nouvelles connexions.
Cliquez sur Créer.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID | --folder=FOLDER_ID \
    --description=DESCRIPTION \
    --direction=EGRESS \
    --action=ACTION \
    [--enable-logging | --no-enable-logging] \
    [--disabled | --no-disabled] \
    [--target-resources=TARGET_NETWORKS] \
    [--target-secure-tags=TARGET_SECURE_TAGS] \
    [--target-service-accounts=TARGET_SERVICE_ACCOUNTS] \
    [--layer4-configs=LAYER_4_CONFIGS] \
    [--dest-network-type=DEST_NETWORK_TYPE] \
    [--dest-ip-ranges=DEST_IP_RANGES] \
    [--dest-address-groups=DEST_ADDRESS_GROUPS] \
    [--dest-fqdns=DEST_DOMAIN_NAMES] \
    [--dest-region-codes=DEST_COUNTRY_CODES] \
    [--dest-threat-intelligence=DEST_THREAT_LIST_NAMES] \
    [--src-ip-ranges=SRC_IP_RANGES]

Remplacez les éléments suivants :

PRIORITY : ordre d'évaluation numérique de la règle dans la stratégie. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Nous vous recommandons de séparer les valeurs de priorité des règles par plus d'une unité (par exemple, 100, 200, 300) afin de pouvoir créer ultérieurement de nouvelles règles entre les règles existantes.
POLICY_NAME : nom de la stratégie de pare-feu hiérarchique dans laquelle vous souhaitez créer la règle.
ORG_ID : ID de l'organisation contenant la stratégie de pare-feu hiérarchique, si son parent est une organisation.
FOLDER_ID : ID du dossier contenant la stratégie de pare-feu hiérarchique, si son parent est un dossier.
DESCRIPTION : description facultative de la nouvelle règle.
ACTION : spécifiez l'une des actions suivantes :
- allow : autorise les connexions correspondant à la règle.
- deny : refuse les connexions correspondant à la règle.
- goto_next : poursuit le processus d'évaluation des règles de pare-feu.
- apply_security_profile_group : envoie les paquets à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception.
  - Lorsque l'action est apply_security_profile_group, vous devez inclure --security-profile-group SECURITY_PROFILE_GROUP, où SECURITY_PROFILE_GROUP est le nom d'un groupe de profils de sécurité.
  - Le profil de sécurité du groupe de profils de sécurité peut faire référence à un point de terminaison de pare-feu Cloud NGFW ou à un groupe de points de terminaison d'interception de l'intégration de la sécurité réseau pour l'intégration intrabande.
  - Si le profil de sécurité du groupe de profils de sécurité fait référence à un point de terminaison de pare-feu Cloud NGFW, incluez --tls-inspect ou --no-tls-inspect pour activer ou désactiver l'inspection TLS.
Les indicateurs --enable-logging et --no-enable-logging activent ou désactivent la journalisation des règles de pare-feu.
Les indicateurs --disabled et --no-disabled permettent de déterminer si la règle est désactivée (non appliquée) ou activée (appliquée).
Spécifiez une cible :
- Si vous omettez les indicateurs --target-resources, --target-secure-tags et --target-service-accounts, Cloud NGFW utilise les cibles d'instance les plus larges.
- TARGET_NETWORKS : liste de réseaux VPC séparés par des virgules, spécifiés par leurs URL de ressources réseau au format https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME. L'indicateur --target-resources peut être utilisé seul ou en combinaison avec un autre indicateur cible. Pour en savoir plus, consultez Combinaisons de cibles spécifiques.
- TARGET_SECURE_TAGS : liste de valeurs de tags sécurisés séparées par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM liées à au moins l'une des valeurs de tag sécurisé.
- TARGET_SERVICE_ACCOUNTS : liste de comptes de service séparés par une virgule qui limite les cibles d'instance les plus larges aux interfaces réseau des instances de VM qui utilisent l'un des comptes de service.
LAYER_4_CONFIGS : liste de configurations de couche 4 séparées par une virgule. Chaque configuration de couche 4 peut être l'une des suivantes :
- Nom de protocole IP (tcp) ou numéro de protocole IP IANA (17) sans port de destination.
- Nom du protocole IP et port de destination séparés par un deux-points (tcp:80).
- Nom de protocole IP et plage de ports de destination séparés par un deux-points, avec un tiret pour séparer les ports de destination de début et de fin (tcp:5000-6000). Pour en savoir plus, consultez Protocoles et ports.
Spécifiez une destination pour la règle de sortie. Pour en savoir plus, consultez Combinaisons de destinations pour les règles de sortie :
- DEST_NETWORK_TYPE : définit les types de réseaux de destination à utiliser conjointement avec un autre paramètre de destination compatible pour produire une combinaison de destinations. Les valeurs valides sont INTERNET et NON_INTERNET. Pour en savoir plus, consultez Types de réseaux.
- DEST_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.
- DEST_ADDRESS_GROUPS : liste de groupes d'adresses séparés par une virgule et spécifiés par leurs identifiants d'URL uniques.
- DEST_DOMAIN_NAMES : liste d'objets de nom de domaine complet séparés par une virgule, spécifiés au format des noms de domaine.
- DEST_COUNTRY_CODES : liste de codes pays à deux lettres, séparés par une virgule. Pour en savoir plus, consultez Objets de géolocalisation.
- DEST_THREAT_LIST_NAMES : liste de noms des listes Google Threat Intelligence, séparés par une virgule. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.
Vous pouvez également spécifier une source pour la règle de sortie :
- SRC_IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Les plages de la liste doivent toutes être des CIDR IPv4 ou IPv6, et non une combinaison des deux.

Répertorier toutes les règles d'une stratégie

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.get

Rôles

Administrateur Compute Network (roles/compute.networkAdmin) sur la ressource parente (organisation ou dossier) contenant la stratégie ou sur la stratégie elle-même
Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Utilisateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyUser) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie. Les règles sont répertoriées dans l'onglet Règles de pare-feu.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization=ORG_ID

Remplacez les éléments suivants :

POLICY_NAME : nom de la stratégie de pare-feu hiérarchique contenant la règle.
ORG_ID : ID de l'organisation contenant la stratégie de pare-feu hiérarchique.

Décrire une règle

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.get

Rôles

Administrateur Compute Network (roles/compute.networkAdmin) sur la ressource parente (organisation ou dossier) contenant la stratégie ou sur la stratégie elle-même
Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Utilisateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyUser) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Remplacez les éléments suivants :

POLICY_NAME : nom de la stratégie de pare-feu hiérarchique contenant la nouvelle règle.
ORG_ID : ID de l'organisation contenant la stratégie de pare-feu hiérarchique.

Mettre à jour une règle

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'organisation ou le dossier contenant la stratégie de pare-feu hiérarchique.
Cliquez sur le nom de la stratégie de pare-feu hiérarchique contenant la règle à modifier.
Cliquez sur la priorité de la règle.
Cliquez sur Modifier.
Modifiez les champs de la règle de pare-feu que vous souhaitez modifier. Pour obtenir la description de chaque champ, consultez l'une des ressources suivantes :
- Créer une règle d'entrée pour les cibles de VM
- Créer une règle de sortie pour les cibles de VM
Cliquez sur Enregistrer.

gcloud

gcloud compute firewall-policies rules update PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization ORG_ID \
    [...other flags that you want to modify...]

Remplacez les éléments suivants :

PRIORITY : numéro de priorité qui identifie de manière unique la règle.
POLICY_NAME : nom de la stratégie qui contient la règle.
ORG_ID : ID de l'organisation contenant la stratégie de pare-feu hiérarchique.

Indiquez les indicateurs que vous souhaitez modifier. Pour obtenir une description des indicateurs, consultez l'une des ressources suivantes :

Créer une règle d'entrée pour les cibles de VM
Créer une règle de sortie pour les cibles de VM

Copier des règles d'une stratégie à une autre

Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.copyRules

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie dont vous souhaitez copier les règles.
Cliquez sur Cloner en haut de l'écran.
Indiquez le nom d'une stratégie cible.
Si vous souhaitez associer la nouvelle stratégie immédiatement, cliquez sur Continuer pour ouvrir la section Associer la stratégie à des ressources.
Cliquez sur Clone (Cloner).

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --source-firewall-policy=SOURCE_POLICY \
    --organization=ORG_ID \

Remplacez l'élément suivant :

POLICY_NAME : stratégie destinée à recevoir les règles copiées.
SOURCE_POLICY : stratégie à partir de laquelle les règles seront copiées (doit être l'URL de la ressource).
ORG_ID : ID de l'organisation contenant la stratégie de pare-feu hiérarchique.

Supprimer une règle

Si vous supprimez une règle d'une stratégie, elle ne s'appliquera plus aux nouvelles connexions vers ou depuis la cible de la règle.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

Administrateur des règles de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même
Administrateur de la sécurité Compute (roles/compute.securityAdmin) sur la ressource parente (organisation ou dossier) contenant la règle ou sur la règle elle-même

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Dans le menu permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --firewall-policy=POLICY_NAME \
    --organization=ORG_ID

Remplacez les éléments suivants :

PRIORITY : priorité de la règle que vous souhaitez supprimer de la stratégie.
POLICY_NAME : nom de la stratégie de pare-feu hiérarchique contenant la règle.
ORG_ID : ID de l'organisation contenant la stratégie de pare-feu hiérarchique.

Obtenir des règles de pare-feu efficaces pour un réseau

Vous pouvez afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et les règles des stratégies de pare-feu réseau au niveau mondial qui s'appliquent à toutes les régions d'un réseau VPC.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls

Rôles

Administrateur de réseaux Compute (roles/compute.networkAdmin) sur le projet contenant le réseau ou
Utilisateur de réseau Compute (roles/compute.networkUser) sur le projet contenant le réseau ou
Lecteur de réseau Compute (roles/compute.networkViewer) sur le projet contenant le réseau ou
Administrateur de sécurité Compute (roles/compute.securityAdmin) sur le projet contenant le réseau ou
Lecteur Compute (roles/compute.viewer) sur le projet contenant le réseau

Console

Dans la console Google Cloud , accédez à la page Réseaux VPC.

Accéder aux réseaux VPC
Cliquez sur le réseau dont vous souhaitez afficher les règles des stratégies de pare-feu.
Cliquez sur Pare-feu.
Développez chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Remplacez NETWORK_NAME par le réseau pour lequel vous souhaitez afficher les règles effectives.

Vous pouvez également afficher les règles de pare-feu efficaces pour un réseau à partir de la page Pare-feu.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.organizations.listAssociations sur le réseau
Facultatif : resourcemanager.folders.get et resourcemanager.organizations.get pour afficher les informations dans les colonnes Hérité de et Emplacement de, procédez comme suit :

Rôles

Pour afficher les règles de pare-feu, procédez comme suit :

compute.orgSecurityResourceAdmin
compute.viewer

Facultatif : Pour afficher les informations dans les colonnes Hérité de et Emplacement de :

browser
resourcemanager.organizationAdmin

Console

Dans la console Google Cloud , accédez à la page Règles de pare-feu.

Accéder à la page Règles de pare-feu
Les stratégies de pare-feu sont répertoriées dans la section Stratégies de pare-feu héritées par ce projet.
Cliquez sur chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.

Obtenir des règles de pare-feu efficaces pour une interface de VM

Vous pouvez afficher toutes les règles de pare-feu (issues de toutes les stratégies de pare-feu et règles de pare-feu VPC applicables) qui s'appliquent à une interface réseau d'une VM Compute Engine.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.instances.getEffectiveFirewalls

Rôles

Administrateur d'instances Compute (roles/compute.instanceAdmin) sur le projet contenant l'instance de VM ou
Agent de service Instance Group Manager (roles/compute.instanceGroupManagerServiceAgent) sur le projet contenant l'instance de VM ou
Administrateur de sécurité Compute (roles/compute.securityAdmin) sur le projet contenant l'instance de VM ou
Lecteur Compute (roles/compute.viewer) sur le projet contenant l'instance de VM

Console

Dans la console Google Cloud , accédez à la page Instances de VM.

Accéder à la page Instances de VM
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la VM.
Cliquez sur la VM.
Pour Interfaces réseau, cliquez sur l'interface.
Les règles de pare-feu efficaces apparaissent dans l'onglet Pare-feu de la section Analyse de la configuration réseau.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Remplacez les éléments suivants :

INSTANCE_NAME : VM pour laquelle vous souhaitez afficher les règles en vigueur. Si aucune interface n'est spécifiée, la commande renvoie des règles pour l'interface principale (nic0).
INTERFACE : interface de VM pour laquelle vous souhaitez afficher les règles en vigueur. La valeur par défaut est nic0.
ZONE : zone de la VM. Cette ligne est facultative si la zone choisie est déjà définie comme valeur par défaut.

Dépannage

Cette section contient des explications sur les messages d'erreur que vous pouvez rencontrer.

FirewallPolicy may not specify a name. One will be provided.

Vous ne pouvez pas spécifier de nom de stratégie. Les "noms" de stratégies de pare-feu hiérarchique sont des ID numériques générés par Google Cloud lors de la création de la stratégie. Toutefois, vous pouvez spécifier un nom court plus convivial, qui agit comme un alias dans de nombreux contextes.
FirewallPolicy may not specify associations on creation.

Les associations ne peuvent être créées qu'après la création des stratégies de pare-feu hiérarchiques.
Can't move firewall policy to a different organization.

Les déplacements de stratégies de pare-feu hiérarchiques doivent rester au sein de la même organisation.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Si une ressource est déjà associée à une stratégie de pare-feu hiérarchique, l'opération de rattachement échoue sauf si l'option de remplacement des associations existantes est définie sur "true".
Can't have rules with the same priorities.

Les priorités des règles doivent être uniques au sein d'une stratégie de pare-feu hiérarchique.
Direction must be specified for a firewall policy rule.

Lorsque vous créez des règles des stratégies de pare-feu hiérarchiques en envoyant directement des requêtes REST, vous devez spécifier la direction de la règle. Lorsque vous utilisez la Google Cloud CLI et qu'aucune direction n'est spécifiée, la valeur par défaut est INGRESS.
Can't specify enable_logging on a goto_next rule.

La journalisation du pare-feu n'est pas autorisée pour les règles ayant une action goto_next, car les actions goto_next sont utilisées pour représenter l'ordre d'évaluation des différentes stratégies de pare-feu. Elles ne sont pas des actions de terminal telles que ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.

L'indicateur layer4Configs de la règle de stratégie de pare-feu doit spécifier au moins un protocole ou un protocole et un port de destination.

Pour en savoir plus sur la résolution des problèmes liés aux règles des stratégies de pare-feu, consultez la page Dépannage des règles de pare-feu VPC.

Utiliser des stratégies et des règles de pare-feu hiérarchiques Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Limites

Tâches liées aux stratégies de pare-feu

Autorisations requises pour cette tâche

Créer des règles de pare-feu

Autorisations requises pour cette tâche

Console

gcloud

Associer une stratégie à l'organisation ou au dossier

Autorisations requises pour cette tâche

Console

gcloud

Déplacer une stratégie d'une ressource à une autre

Autorisations requises pour cette tâche

Console

gcloud

Mettre à jour la description d'une stratégie

Autorisations requises pour cette tâche

Console

gcloud

Règles de liste

Autorisations requises pour cette tâche

Console

gcloud

Décrire une stratégie

Autorisations requises pour cette tâche

Console

gcloud

Supprimer une stratégie

Autorisations requises pour cette tâche

Console

gcloud

Répertorier les associations pour une ressource

Autorisations requises pour cette tâche

Console

gcloud

Supprimer une association

Autorisations requises pour cette tâche

Console

gcloud

Tâches liées aux règles des stratégies de pare-feu

Créer une règle d'entrée pour les cibles de VM

Autorisations requises pour cette tâche

Console

gcloud

Créer une règle de sortie pour les cibles de VM

Autorisations requises pour cette tâche

Console

gcloud

Répertorier toutes les règles d'une stratégie

Autorisations requises pour cette tâche

Console

gcloud

Décrire une règle

Autorisations requises pour cette tâche

Console

gcloud

Mettre à jour une règle

Autorisations requises pour cette tâche

Console

gcloud

Copier des règles d'une stratégie à une autre

Autorisations requises pour cette tâche

Console

gcloud

Supprimer une règle

Autorisations requises pour cette tâche

Console

gcloud

Obtenir des règles de pare-feu efficaces pour un réseau

Autorisations requises pour cette tâche

Console

gcloud

Autorisations requises pour cette tâche

Console

Obtenir des règles de pare-feu efficaces pour une interface de VM

Autorisations requises pour cette tâche

Console

gcloud

Dépannage

Utiliser des stratégies et des règles de pare-feu hiérarchiques