Google Cloud Armor Managed Protection の使用

このガイドでは、Google Cloud Armor Managed Protection Plus の使用方法について説明します。Managed Protection の詳細については、Google Cloud Armor Managed Protection の概要をご覧ください。

Managed Protection Plus に切り替えるには、次の手順を行います。

  1. 請求先アカウントを Managed Protection プラスティアに登録します。
  2. Managed Protection Plus サブスクリプションで個々のプロジェクトを登録します。

必要な IAM 権限

請求先アカウントを Managed Protection Plus に登録する場合や、サブスクリプションの自動更新設定を変更する場合は、その請求先アカウントに対して Identity and Access Management(IAM)権限 billing.accounts.update を持っている必要があります。

Managed Protection Plus サブスクリプションにプロジェクトを登録するには、Managed Protection Plus に登録するために選択したプロジェクトに対して次の IAM 権限が必要です。

  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.update

課金権限の詳細については、Cloud Billing アクセス制御の概要をご覧ください。

Managed Protection Plus への登録とプロジェクトの登録

Managed Protection Plus に登録して現在のプロジェクトを登録するには、次の手順を行います。

Console

  1. Google Cloud Console で、[ネットワーク セキュリティ] ページに移動します。

    [ネットワーク セキュリティ] に移動

  2. [Cloud Armor] をクリックします。

  3. [Managed Protection] をクリックします。プラスティアの登録が有効な場合、請求先アカウントはすでに登録されています。

  4. [プラスティアに登録] をクリックします。確認のダイアログ ボックスが表示されます。

  5. 現在のプロジェクトを登録するには、[現在のプロジェクトを登録] のチェックボックスがオンになっていることを確認します。

  6. [登録] をクリックして登録を確定します。それ以外の場合は、[キャンセル] をクリックします。

追加のプロジェクトを登録する手順は次のとおりです。

Console

  1. 登録された請求先アカウントにログイン後、登録する追加のプロジェクトに移動します。
  2. Cloud Console で、[ネットワーク セキュリティ] ページに移動します。

    [ネットワーク セキュリティ] に移動

  3. [Cloud Armor] をクリックしてから、[Managed Protection] をクリックします。

  4. [プラスティア] で [プラスティアに変更] をクリックします。

Managed Protection Plus からプロジェクトを削除する

Managed Protection Plus からプロジェクトの登録を解除するには、次の手順を行います。

Console

  1. 登録された請求先アカウントにログイン後、プラスティアから削除するプロジェクトに移動します。
  2. Cloud Console で、[ネットワーク セキュリティ] ページに移動します。

    [ネットワーク セキュリティ] に移動

  3. [Cloud Armor] をクリックしてから、[Managed Protection] をクリックします。

  4. [スタンダード ティア(デフォルト)] で [スタンダード ティアに変更] をクリックします。

Managed Protection Plus から請求先アカウントの登録を解除する

Managed Protection Plus サブスクリプションは 1 年契約で、自動的に更新されます。1 年間の契約期間の終了時に更新が行われないようにするには、自動更新を無効にする必要があります。自動更新を無効にすると、現在の 1 年間のサブスクリプション期間の終了時に Managed Protection Plus サブスクリプションが更新されず、請求先アカウントのすべてのプロジェクトが Managed Protection Standard に戻ります。

Managed Protection Plus の自動更新をキャンセルするには、次の手順を行います。

Console

  1. 登録された請求先アカウントにログインし、Cloud Console で [ネットワーク セキュリティ] ページに移動します。

    [ネットワーク セキュリティ] ページに移動

  2. [Cloud Armor] をクリックしてから、[Managed Protection] をクリックします。

  3. [自動更新(オフ)] をクリックします。Managed Protection Plus の登録が、現在の登録の有効期限が切れても更新されなくなります。その時点で、Managed Protection Plus に登録されたプロジェクトが登録解除されます。Managed Protection Standard で提供される DDoS 対策は引き続き適用されます。

請求先アカウントは、Managed Protection Plus にいつでも再登録できます。この場合、Managed Protection Plus の料金モデルと追加機能を利用するプロジェクトを登録し直す必要があります。

DDoS 対応サポートの利用

Google Cloud Armor DDoS 対応サポートチームのサポートを利用するには、次の基準を満たしている必要があります。

  • 請求先アカウントで有効な Managed Protection Plus サブスクリプションがある
  • 攻撃対象のワークロードを含むプロジェクトが Managed Protection Plus に登録されている
  • 請求先アカウントが Cloud サポートのプレミアム アカウントになっている

ケースの作成

DDoS 対応サポートを利用するには、Google Cloud Console でサポートケースを作成します。資格要件を満たしている場合、ケースは Google Cloud Armor DDoS 対応チームにエスカレーションされ、サポート、トリアージ、潜在的な回避策の提示が行われます。

DDoS 対応ケースを作成する手順は次のとおりです。

  1. Google Cloud Console の [サポート] ページに移動します。
    [サポート] ページに移動
  2. DDoS 対応サポートケースを作成するプロジェクトを選択します。
  3. [ケース] を選択します。
  4. [ケースを作成] をクリックします。
  5. ケースが DDoS 対応ケースであることを指定します。
  6. 必要なフィールドに入力してフォームを送信します。

DDoS 請求対策の利用

DDoS 請求対策に関するクレームを行うには、次の情報を用意する必要があります。

  • ターゲット プロジェクトに関連付けられた請求先アカウント。
  • 対象リソースを含むプロジェクトのプロジェクト番号。
  • 対象リソースのインターネット IP アドレス。
  • 攻撃の開始時刻。
  • 攻撃の終了時刻。
  • 影響を受けたサービスの通常のトラフィック量。
  • 影響を受けたサービスに対する攻撃量。

チャットを開始できます。また、Google Cloud Console からお支払いサポートにお問い合わせいただくこともできます。Cloud Billing サポートへの問い合わせ方法については、Cloud Billing サポートへのお問い合わせをご覧ください。

Managed Protection に関するトラブルシューティング

このセクションでは、Managed Protection に関する問題の解決方法について説明します。

Managed Protection Plus を定期購入したが、引き続き従量課金制で請求が行われている

Managed Protection Plus に登録した後も従量課金制で請求が行われている場合は、Managed Protection Plus でプロジェクトが登録されているかどうかを確認してください。

Subscribe ボタンが使用できない

[Subscribe] ボタンを使用できないため、Managed Protection Plus に登録できない場合は、次のようにします。

  • 登録を行うユーザーに十分な IAM 権限が付与されていることを確認します。
    • 請求先アカウント レベルで登録するには、billing.accounts.update 権限が必要です。
    • プラスティアでプロジェクトの登録または登録解除を行うには、resourcemanager.projects.createBillingAssignmentresourcemanager.projects.update の権限が必要です。

Managed Protection でプログラムによるプロジェクトの登録ができない

Managed Protection Plus のサブスクリプションと登録は、Cloud Console インターフェースからのみ行うことができます。gcloud コマンドライン ツールと REST API はサポートされていません。

保護対象となるバックエンド サービスの数を確認する

Managed Protection Plus で登録された各プロジェクトの場合、Google Cloud Armor ページの [Managed Protection] タブの下に、保護対象となるバックエンド サービスの数が表示されます。表示される数字は、サブスクリプションに登録されている請求先アカウントのすべてのプロジェクトをもとに集計されたもので、サブスクリプションの対象となるバックエンド サービスの合計数を表します。

プロジェクトがデフォルトの階層である Managed Protection Standard に登録されている場合、このカウントは表示されません。

請求が一致しない

これらのトラブルシューティングのヒントを試しても問題が解決しない場合、Google Cloud Billing サポートチームにお問い合わせください。

次のステップ