Google Cloud Armor Enterprise を使用する

このガイドでは、Google Cloud Armor Enterprise を使用する手順について説明します。このプロダクトの詳細については、Cloud Armor Enterprise の概要をご覧ください。

必要な IAM 権限

請求先アカウントを Cloud Armor Enterprise に登録する場合や、サブスクリプションの自動更新設定を変更する場合は、その請求先アカウントに対して Identity and Access Management(IAM)権限 billing.accounts.update を持っている必要があります。

Cloud Armor Enterprise サブスクリプションにプロジェクトを登録するには、Cloud Armor Enterprise に登録するために選択したプロジェクトに対して次の IAM 権限を付与されている必要があります。

  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.update

課金権限の詳細については、Cloud Billing アクセス制御の概要をご覧ください。

Cloud Armor Enterprise に登録してプロジェクトを登録する

Cloud Armor Enterprise に登録して現在のプロジェクトを登録する手順は次のとおりです。Cloud Armor Enterprise Annual の登録パスと Cloud Armor Enterprise Paygo の登録パスは同じではなく、一部のパスは Google Cloud コンソールまたは Google Cloud CLI 専用です。

コンソール

Cloud Armor Enterprise Annual に登録する

  1. Google Cloud コンソールで、Cloud Armor の サービスティア ページに移動します。サブスクリプションが有効な場合、請求先アカウントはすでに登録されています。

    Cloud Armor サービスティアに移動する

  2. [Cloud Armor Enterprise Annual] ペインで [サブスクリプション登録して登録] をクリックします。確認ダイアログが表示されます。

Cloud Armor Enterprise Paygo に登録する

  1. Google Cloud コンソールで、Cloud Armor の サービスティア ページに移動します。

    Cloud Armor サービスティアに移動

  2. [Cloud Armor Enterprise Paygo] ペインで [登録] をクリックします。

gcloud

Cloud Armor Enterprise Annual に登録する

Cloud Armor Enterprise Paygo に登録する

現在のプロジェクトを Cloud Armor Enterprise Paygo に登録するには、次の gcloud コマンドを使用します。

gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO

有効化には最長で 24 時間かかることがあるため、できるだけ早く Cloud Armor Enterprise にプロジェクトを登録することを強くおすすめします。その間も引き続きプロジェクトを登録できます。

追加のプロジェクトを登録する手順は次のとおりです。

コンソール

Cloud Armor Enterprise Annual に追加のプロジェクトを登録する

  1. Google Cloud コンソールで、Cloud Armor の サービスティア ページに移動します。

    Cloud Armor サービスティアに移動

  2. [Cloud Armor Enterprise Annual] ペインで [登録] をクリックします。

Cloud Armor Enterprise Paygo に追加のプロジェクトを登録する

  1. Google Cloud コンソールで、Cloud Armor の サービスティア ページに移動します。

    Cloud Armor サービスティアに移動

  2. [Cloud Armor Enterprise Paygo] ペインで [登録] をクリックします。

gcloud

Cloud Armor Enterprise Annual に追加のプロジェクトを登録する

Cloud Armor Enterprise Paygo に追加のプロジェクトを登録する

Cloud Armor Enterprise Paygo にプロジェクトを登録するには、次のコマンドを使用します。

gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO

Cloud Armor Enterprise からプロジェクトを削除する

Cloud Armor Enterprise からプロジェクトを削除する前に、Cloud Armor Enterprise からのダウングレードを理解しておくことをおすすめします。Cloud Armor Enterprise からプロジェクトを登録解除すると、変更が有効になるまでに最大 12 時間かかる場合があります。この間に、他のプロジェクトの登録解除(または登録)は続行できます。

Cloud Armor Enterprise からプロジェクトの登録を解除する手順は次のとおりです。

コンソール

Cloud Armor Enterprise Annual からプロジェクトの登録を解除する

  1. Google Cloud コンソールで、Cloud Armor の サービスティア ページに移動します。

    Cloud Armor サービスティアに移動

  2. [Standard] ペインで [登録] をクリックします。

Cloud Armor Enterprise Paygo からプロジェクトの登録を解除する

  1. Google Cloud コンソールで、Cloud Armor の サービスティア ページに移動します。

    Cloud Armor サービスティアに移動

  2. [Standard] ペインで [登録] をクリックします。

gcloud

Cloud Armor Enterprise Annual からプロジェクトの登録を解除する

Google Cloud CLI を使用して、Cloud Armor Enterprise Annual からプロジェクトの登録を解除することはできません。代わりに Google Cloud コンソールを使用する必要があります。

Cloud Armor Enterprise Paygo からプロジェクトの登録を解除する

gcloud compute project-info update --cloud-armor-tier CA_STANDARD

登録階層を表示または変更する

以下のセクションを使用して、現在の Cloud Armor Enterprise の登録階層を表示し、登録を Cloud Armor Enterprise(年間)から Cloud Armor Enterprise Paygo に変更するか、または Cloud Armor Enterprise Paygo から Cloud Armor Enterprise(年間)に登録を変更します。

現在の Cloud Armor Enterprise の登録階層を表示する

現在の Cloud Armor Enterprise の登録階層を表示する手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで、Cloud Armor の サービスティア ページに移動します。

    Cloud Armor サービスティアに移動する

  2. Cloud Armor Enterprise Paygo や Cloud Armor Enterprise Paygo など、利用可能な Cloud Armor Enterprise サービス階層が表示されます。現在の Cloud Armor Enterprise 登録階層がハイライト表示され、[プロジェクト] フィールドに「登録済み」というステータスが表示されます。

gcloud

現在の Cloud Armor Enterprise の登録階層を表示するには、次の gcloud コマンドを使用します。

gcloud compute project-info describe

登録の対象となるバックエンド サービスとバックエンド バケットの数を表示する

Cloud Armor Enterprise に登録されている各プロジェクトの場合は、[Cloud Armor Enterprise] ページに、登録対象のバックエンド サービスとバックエンド バケットの数が表示されます。表示される数は、登録対象のバックエンド サービスとバックエンド バケットの合計数です。

プロジェクトがデフォルトの階層である Cloud Armor Enterprise Standard に登録されている場合、このカウントは表示されません。

Cloud Armor Enterprise Annual の登録を Cloud Armor Enterprise Paygo に変更する

登録を Cloud Armor Enterprise Annual から Cloud Armor Enterprise Paygo に変更する手順は次のとおりです。

  1. Cloud Armor Enterprise Annual からプロジェクトを登録解除します。
  2. Cloud Armor Enterprise Paygo に登録します。

Cloud Armor Enterprise Paygo の登録を Cloud Armor Enterprise Annual に変更する

登録を Cloud Armor Enterprise Paygo から Cloud Armor Enterprise Annual に変更する手順は次のとおりです。

  1. Cloud Armor Enterprise Paygo からプロジェクトの登録を解除します。
  2. Cloud Armor Enterprise Annual に登録します。

Cloud Armor Enterprise Annual から請求先アカウントのサブスクリプション登録を解除する

Cloud Armor Enterprise Annual のサブスクリプションは 1 年契約であり、自動的に更新されます。1 年間の契約期間の終了時に更新が行われないようにするには、自動更新を無効にする必要があります。自動更新を無効にすると、現在の 1 年間のサブスクリプション期間の終了時に Cloud Armor Enterprise Annual のサブスクリプションが更新されず、Cloud Armor Enterprise Annual に登録されている請求先アカウント内のすべてのプロジェクトが Cloud Armor Enterprise Standard に戻ります。

Cloud Armor Enterprise Annual の自動更新をキャンセルする手順は次のとおりです。

コンソール

  1. 登録された請求先アカウントにログインし、Google Cloud コンソールで [Cloud Armor の サービスティア] ページに移動します。

    Cloud Armor サービスティアに移動

  2. [自動更新(オフ)] をクリックします。現在のサブスクリプションの有効期限が切れても、Cloud Armor Enterprise のサブスクリプションは更新されません。その時点で、Cloud Armor Enterprise に登録されたプロジェクトが登録解除されます。Cloud Armor Enterprise Standard で提供される DDoS 対策は引き続き適用されます。

請求先アカウントは、Cloud Armor Enterprise Annual にいつでも再登録できます。この場合、Cloud Armor Enterprise の料金モデルと追加機能を利用するプロジェクトを登録し直す必要があります。

DDoS 対応サポートケースを開く

DDoS 対応サポートを利用するには、Google Cloud コンソールでサポートケースを作成します。資格要件を満たしているお客様の場合、ケースは Google Cloud Armor DDoS 対応チームにエスカレーションされ、サポート、トリアージ、潜在的な緩和策の提示が行われます。

DDoS 対応サポートケースを開くには、DDoS ケースのサポートを受けるをご覧ください。

DDoS 請求対策を利用する

DDoS 請求対策に関するクレームを行うには、プロジェクトを Cloud Armor Enterprise Annual に登録し、次の情報を用意する必要があります。

  • ターゲット プロジェクトに関連付けられた請求先アカウント。
  • 対象リソースを含むプロジェクトのプロジェクト番号。
  • 対象リソースのインターネット IP アドレス。
  • 攻撃の開始時刻。
  • 攻撃の終了時刻。
  • 影響を受けたサービスの通常のトラフィック量。
  • 影響を受けたサービスに対する攻撃量。

チャットを開始できます。また、Google Cloud Console からお支払いサポートにお問い合わせいただくこともできます。Cloud Billing サポートへの問い合わせ方法については、Cloud Billing サポートへのお問い合わせをご覧ください。

プロジェクト間の参照の要件

プロジェクト間のサービス参照を使用して Cloud Armor Enterprise の料金設定を活用するには、フロントエンドとバックエンドの両方のサービス プロジェクトを Cloud Armor Enterprise Annual に登録する必要があります。

対象攻撃

外部パススルー ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレス(VM)の場合、攻撃の開始時に攻撃対象のエンドポイントが存在するリージョンで、高度な DDoS 対策が有効になっている場合のみ、攻撃は対象攻撃とみなされます(Google Cloud Armor の利用規約と制限を参照)。

Threat Intelligence を使用する

Threat Intelligence を使用するには、evaluateThreatIntelligence 一致式を使用してセキュリティ ポリシーを構成し、許可またはブロックするカテゴリに基づいてフィード名を指定します。Threat Intelligence で誤って IP アドレスがブロックされる場合は、IP アドレスを除外リストに追加して、トラフィックを許可できます。

Cloud Armor Enterprise のトラブルシューティング

このセクションでは、Cloud Armor Enterprise に関する問題の解決に役立つ情報を提供します。

Cloud Armor Enterprise Annual に登録したものの、引き続き従量課金制で請求が行われている

Cloud Armor Enterprise に登録した後も従量課金制で請求が行われている場合は、プロジェクトが Cloud Armor Enterprise に登録されているかどうかを確認してください。

Subscribe ボタンが使用できない

[Subscribe] ボタンを使用できないために Cloud Armor Enterprise Annual に登録できない場合は、次のようにします。

  • 登録を行うユーザーに十分な IAM 権限が付与されていることを確認します。
    • 請求先アカウント レベルで登録するには、billing.accounts.update 権限が必要です。
    • ティアでプロジェクトの登録または登録解除を行うには、resourcemanager.projects.createBillingAssignmentresourcemanager.projects.update の権限が必要です。

請求が一致しない

これらのトラブルシューティングのヒントを試しても問題が解決しない場合は、Google Cloud Billing サポートチームにお問い合わせください。

次のステップ