このガイドでは、Google Cloud Armor Enterprise の使用方法について説明します。Cloud Armor Enterprise の詳細については、Google Cloud Armor Enterprise の概要をご覧ください。
必要な IAM 権限
請求先アカウントを Cloud Armor Enterprise に登録する場合や、サブスクリプションの自動更新設定を変更する場合は、その請求先アカウントに対して Identity and Access Management(IAM)権限 billing.accounts.update を持っている必要があります。
Cloud Armor Enterprise サブスクリプションにプロジェクトを登録するには、Cloud Armor Enterprise に登録するために、現在選択されているプロジェクトに対して次の IAM 権限が必要です。
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.update
課金権限の詳細については、Cloud Billing アクセス制御の概要をご覧ください。
Cloud Armor Enterprise に登録してプロジェクトを登録する
Cloud Armor Enterprise に登録して現在のプロジェクトを登録するには、次の手順を行います。Cloud Armor Enterprise(年間)の登録パスと Cloud Armor Enterprise Paygo の登録パスは同じではなく、一部のパスは Google Cloud コンソールまたは Google Cloud CLI 専用です。
コンソール
Cloud Armor Enterprise(年間)に登録する
Google Cloud コンソールで、Cloud Armor の サービスティア ページに移動します。サブスクリプションが有効な場合、請求先アカウントはすでに登録されています。
[Cloud Armor Enterprise(年間)] ペインで [サブスクリプション登録して登録] をクリックします。確認ダイアログが表示されます。
Cloud Armor Enterprise Paygo に登録する
Google Cloud コンソールで、[Cloud Armor の [サービスティア] ページに移動します。
[Cloud Armor Enterprise Paygo] ペインで [登録] をクリックします。
gcloud
Cloud Armor Enterprise(年間)に登録する
Cloud Armor Enterprise Paygo に登録する
Cloud Armor Enterprise Paygo に現在のプロジェクトを登録するには、次の gcloud コマンドを使用します。
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
有効化には最長で 24 時間ほどかかることがあるため、できるだけ早く Cloud Armor Enterprise にプロジェクトを登録することを強くおすすめします。その間も引き続きプロジェクトを登録できます。
追加のプロジェクトを登録する手順は次のとおりです。
コンソール
Cloud Armor Enterprise(年間)に追加のプロジェクトを登録する
Google Cloud コンソールで、[Cloud Armor の [サービスティア] ページに移動します。
[Cloud Armor Enterprise(年間)] ペインで、[登録] をクリックします。
Cloud Armor Enterprise Paygo に追加のプロジェクトを登録する
Google Cloud コンソールで、[Cloud Armor の [サービスティア] ページに移動します。
[Cloud Armor Enterprise Paygo] ペインで [登録] をクリックします。
gcloud
Cloud Armor Enterprise(年間)に追加のプロジェクトを登録する
Cloud Armor Enterprise Paygo に追加のプロジェクトを登録する
Cloud Armor Enterprise Paygo にプロジェクトを登録するには、次のコマンドを使用します。
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Cloud Armor Enterprise からプロジェクトを削除する
Cloud Armor Enterprise からプロジェクトを削除する前に、Cloud Armor Enterprise からのダウングレードを理解しておくことをおすすめします。Cloud Armor Enterprise からプロジェクトを登録解除すると、変更が有効になるまで最大 12 時間かかる場合があります。この間に、他のプロジェクトの登録解除(または登録)は続行できます。
Cloud Armor Enterprise からプロジェクトの登録を解除するには、次の手順を行います。
コンソール
Cloud Armor Enterprise(年間)からプロジェクトの登録を解除する
Google Cloud コンソールで、[Cloud Armor の [サービスティア] ページに移動します。
[Standard] ペインで [登録] をクリックします。
Cloud Armor Enterprise Paygo からプロジェクトの登録を解除する
Google Cloud コンソールで、[Cloud Armor の [サービスティア] ページに移動します。
[Standard] ペインで [登録] をクリックします。
gcloud
Cloud Armor Enterprise(年間)からプロジェクトの登録を解除する
Google Cloud CLI を使用して、Cloud Armor Enterprise(年間)からプロジェクトの登録を解除することはできません。代わりに Google Cloud コンソールを使用する必要があります。
Cloud Armor Enterprise Paygo からプロジェクトの登録を解除する
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
登録階層を表示または変更する
以下のセクションを使用して、現在の Cloud Armor Enterprise の登録階層を表示し、登録を Cloud Armor Enterprise(年間)から Cloud Armor Enterprise Paygo に変更するか、または Cloud Armor Enterprise Paygo から Cloud Armor Enterprise(年間)に登録を変更します。
現在の Cloud Armor Enterprise 登録ティアを表示する
以降の手順を使用して、現在の Cloud Armor Enterprise 登録ティアを表示します。
コンソール
Google Cloud コンソールで、[Cloud Armor の [サービスティア] ページに移動します。
Cloud Armor Enterprise Paygo や Cloud Armor Enterprise Paygo など、利用可能な Cloud Armor Enterprise サービスティアが表示されます。現在の Cloud Armor Enterprise 登録階層がハイライト表示され、[プロジェクト] フィールドに「登録済み」というステータスが表示されます。
gcloud
現在の Cloud Armor Enterprise 登録階層を表示するには、次の gcloud コマンドを使用します。
gcloud compute project-info describe
登録の対象となるバックエンド サービスとバックエンド バケットの数を表示する
Cloud Armor Enterprise に登録されている各プロジェクトには、Cloud Armor Enterprise ページの対象となるバックエンド サービスとバックエンド バケットの数が表示されます。表示される数字は、登録の対象となるバックエンド サービスとバックエンド バケットの合計数です。
プロジェクトがデフォルトの階層である Cloud Armor Enterprise Standard に登録されている場合、このカウントは表示されません。
Cloud Armor Enterprise(年間)の登録を Cloud Armor Enterprise Paygo に変更する
登録を Cloud Armor Enterprise(年間)から Cloud Armor Enterprise Paygo に変更するには、次の手順を行います。
Cloud Armor Enterprise Paygo の登録を Cloud Armor Enterprise(年間)に変更する
登録を Cloud Armor Enterprise Paygo から Cloud Armor Enterprise(年間)に変更する手順は次のとおりです。
Cloud Armor Enterprise(年間)から請求先アカウントのサブスクリプション登録を解除する
Cloud Armor Enterprise(年間)サブスクリプションは 1 年契約で、自動的に更新されます。1 年間の契約期間の終了時に更新が行われないようにするには、自動更新を無効にする必要があります。自動更新を無効にすると、現在の 1 年間のサブスクリプション期間の終了時に Cloud Armor Enterprise(年間)サブスクリプションは更新されず、請求先アカウントのすべてのプロジェクトが登録されている Cloud Armor Enterprise(年間)は Cloud Armor Enterprise Standard に戻します。
Cloud Armor Enterprise(年間)の自動更新をキャンセルするには、次の手順を行います。
コンソール
登録された請求先アカウントにログインし、Google Cloud コンソールで [Cloud Armor のサービスティア] ページに移動します。
[自動更新(オフ)] をクリックします。Cloud Armor Enterprise のサブスクリプションは、現在のサブスクリプションの有効期限が切れても更新されません。その時点で、Cloud Armor Enterprise に登録されたプロジェクトが登録解除されます。Cloud Armor Enterprise Standard で提供される DDoS 対策は引き続き適用されます。
請求先アカウントは、Cloud Armor Enterprise(年間)にいつでも再登録できます。この場合、Cloud Armor Enterprise の料金モデルと追加機能を利用するプロジェクトを登録し直す必要があります。
DDoS 対応サポートケースを開く
DDoS 対応サポートを利用するには、Google Cloud コンソールでサポートケースを作成します。資格要件を満たしている場合、ケースは Google Cloud Armor DDoS 対応チームにエスカレーションされ、サポート、トリアージ、潜在的な回避策の提示が行われます。
DDoS 対応ケースを作成する手順は次のとおりです。
Google Cloud コンソールの [サポート] ページに移動します。
DDoS 対応サポートケースを作成するプロジェクトを選択します。
[ケース] を選択します。
[ケースを作成] をクリックします。
ケースが DDoS 対応ケースであることを指定します。
必要なフィールドに入力してフォームを送信します。
DDoS 請求対策を利用する
DDoS 請求対策に関するクレームを行うには、プロジェクトを Cloud Armor Enterprise(年間)に登録し、次の情報を用意する必要があります。
- ターゲット プロジェクトに関連付けられた請求先アカウント。
- 対象リソースを含むプロジェクトのプロジェクト番号。
- 対象リソースのインターネット IP アドレス。
- 攻撃の開始時刻。
- 攻撃の終了時刻。
- 影響を受けたサービスの通常のトラフィック量。
- 影響を受けたサービスに対する攻撃量。
チャットを開始できます。また、Google Cloud Console からお支払いサポートにお問い合わせいただくこともできます。Cloud Billing サポートへの問い合わせ方法については、Cloud Billing サポートへのお問い合わせをご覧ください。
プロジェクト間の参照の要件
次に例を示します。プロジェクト間のサービス参照Cloud Armor Enterprise の料金設定を活用するには、フロントエンドとバックエンドの両方のサービス プロジェクトを Cloud Armor Enterprise(年間)に登録する必要があります。
対象攻撃
外部パススルー ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレス(VM)の場合、攻撃の開始時に攻撃対象のエンドポイントが存在するリージョンで、高度な DDoS 対策が有効になっている場合のみ、攻撃は対象攻撃とみなされます(Google Cloud Armor の利用規約と制限を参照)。
Threat Intelligence を使用する
Threat Intelligence を使用するには、evaluateThreatIntelligence 一致式を使用してセキュリティ ポリシーを構成し、許可またはブロックするカテゴリに基づいてフィード名を指定します。Threat Intelligence で誤って IP アドレスがブロックされる場合は、IP アドレスを除外リストに追加して、トラフィックを許可できます。
Cloud Armor Enterprise のトラブルシューティング
このセクションでは、Cloud Armor Enterprise に関する問題の解決方法について説明します。
Cloud Armor Enterprise(年間)に登録していますが、引き続き従量課金制で請求されます
Cloud Armor Enterprise に登録した後にも従量課金制で請求が行われている場合は、Cloud Armor Enterprise にプロジェクトが登録されているかどうかを確認してください。
Subscribe ボタンが使用できない
[Subscribe] ボタンを使用できないために Cloud Armor Enterprise(年間)に登録できない場合は、次のようにします。
- 登録を行うユーザーに十分な IAM 権限が付与されていることを確認します。
- 請求先アカウント レベルで登録するには、
billing.accounts.update権限が必要です。 - ティアでプロジェクトの登録または登録解除を行うには、
resourcemanager.projects.createBillingAssignmentとresourcemanager.projects.updateの権限が必要です。
- 請求先アカウント レベルで登録するには、
請求が一致しない
これらのトラブルシューティングのヒントを試しても問題が解決しない場合、Google Cloud Billing サポートチームにお問い合わせください。