アドレス グループには、複数の IP アドレス、CIDR 形式の IP アドレス範囲、またはその両方が含まれます。各アドレス グループは、Cloud NGFW ファイアウォール ポリシーのルールや Google Cloud Armor セキュリティ ポリシーのルールなど、複数のリソースで使用できます。
アドレス グループの更新は、アドレス グループを参照するリソースに自動的に伝播されます。たとえば、信頼できる IP アドレスのセットが含まれるアドレス グループを作成できます。信頼できる IP アドレスのセットを変更するには、アドレス グループを更新します。アドレス グループの更新は、関連付けられている各リソースに自動的に反映されます。
仕様
アドレス グループ リソースには次の特徴があります。
- 各アドレス グループは、次の要素を含む URL で一意に識別されます。
- コンテナのタイプ: アドレス グループのタイプ(
organizationまたはproject)。 - コンテナ ID: 組織またはプロジェクトの ID。
- ロケーション: アドレス グループが
globalかリージョン リソース(europe-westなど)かを表します。 - 名前: 次の形式のアドレス グループ名。
- 1~63 文字の文字列
- 英数字のみを使用
- 数字で始めることはできない
- コンテナのタイプ: アドレス グループのタイプ(
アドレス グループの一意の URL 識別子は、次の形式で構成できます。
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>たとえば、プロジェクト
myproject内のglobalアドレス グループexample-address-groupには、次のような固有の 4 タプル識別子があります。projects/myproject/locations/global/addressGroups/example-address-group各アドレス グループには、IPv4 と IPv6 のいずれかに関連するタイプがあります(両方ではありません)。アドレス グループ タイプを後で変更することはできません。
アドレス グループ内の各 IP アドレスまたは IP 範囲は「項目」と呼ばれます。 アドレス グループに追加できる項目数は、アドレス グループの容量によって異なります。アドレス グループの作成時に項目の容量を定義できます。この容量を後で変更することはできません。アドレス グループに構成できる最大容量は、そのアドレス グループを使用するサービスによって異なります。
アドレス グループを作成するときに、容量とタイプを指定する必要があります。 また、Google Cloud Armor を使用する場合は、
purposeフィールドをCLOUD_ARMORに設定する必要があります。CLOUD_ARMOR以外でアドレス グループを作成すると、そのアドレス グループの最大容量は 1,000 個の IP アドレスになります。
アドレス グループのタイプ
アドレス グループはスコープに基づいて分類されます。スコープにより、リソース階層でアドレス グループが適用されるレベルが決まります。アドレス グループは次のタイプに分類されます。
アドレス グループは、プロジェクト スコープと組織スコープのいずれかにできますが、両方に設定することはできません。
プロジェクト スコープのアドレス グループ
プロジェクトまたはネットワーク内で使用する独自の IP アドレスのリストを定義して、変更された IP アドレスリストをブロックまたは許可する場合は、プロジェクト スコープのアドレス グループを使用します。たとえば、独自の脅威インテリジェンス リストを定義してルールに追加する場合、必要な IP アドレスを含むアドレス グループを作成します。
プロジェクト スコープのアドレス グループのコンテナタイプは、常にproject に設定されます。プロジェクト スコープのアドレス グループの作成、変更の詳細については、アドレス グループを構成するをご覧ください。組織スコープのアドレス グループ
Google Cloud Armor は、組織スコープのアドレス グループをサポートしていません。アドレス グループとセキュリティ ポリシーが連携する仕組み
アドレス グループを使用すると、IP アドレスの各リストを多くのセキュリティ ポリシーで共有できるため、セキュリティ ポリシーの構成とメンテナンスが簡単になります。セキュリティ ポリシーでアドレス グループを使用する場合は、次の追加仕様を考慮してください。
- アドレス グループは、グローバル スコープのバックエンド セキュリティ ポリシーでのみ使用できます。
- アドレス グループの容量は、アドレス グループが使用されているセキュリティ ポリシーの属性の合計数に追加されます。容量は、ユースケースに基づいて適切な値に設定してください。
- アドレス グループを使用するには、プロジェクトを Cloud Armor Enterprise に登録する必要があります。標準的な請求にダウングレードすると、新しいアドレス グループの作成や、既存のアドレス グループの変更はできません。また、既存のアドレス グループを参照するルールを作成することはできず、アドレス グループを参照するセキュリティ ポリシーは固定されます。つまり、アドレス グループは引き続き有効ですが、アドレス グループを参照するルールをすべて削除するまで変更することはできません。
アドレス グループの割り当てと上限を確認することをおすすめします。
例
3 つのバックエンド サービスがあり、それぞれに 1 つのセキュリティ ポリシーがあるネットワーク構成があるとします。また、悪意のある IP アドレスのリストも用意されています。各セキュリティ ポリシーで deny ルールを作成する場合は、IP アドレスのリストを各セキュリティ ポリシーに追加するのではなく、1 つのアドレス グループを作成して、3 つのセキュリティ ポリシーすべてで使用できます。その後、新しいセキュリティ ポリシーを作成するたびに、アドレス グループを再度使用して新しいルールを作成できます。
次のステップ
- アドレス グループを構成します。