Groupes d'adresses pour les stratégies de pare-feu

Utilisez des groupes d'adresses pour combiner plusieurs adresses IP et plages d'adresses IP en une seule unité logique nommée. Vous pouvez ensuite utiliser cette unité sur plusieurs règles dans des stratégies de pare-feu identiques ou différentes.

Les groupes d'adresses vous évitent de devoir gérer et synchroniser manuellement les ensembles d'adresses IP utilisés par plusieurs règles de pare-feu. Vous pouvez créer un groupe d'adresses commun avec toutes les adresses IP ou plages d'adresses IP requises. Vous pouvez ensuite réutiliser ce groupe d'adresses dans plusieurs règles de pare-feu pour le filtrage des sources et des destinations. En cas de modification de l'ensemble d'adresses IP, vous pouvez mettre à jour le groupe d'adresses sans avoir à mettre à jour chaque règle associée.

Les groupes d'adresses simplifient la configuration et la maintenance des stratégies de pare-feu. Vous pouvez partager les adresses IP entre les stratégies de pare-feu et définir des stratégies de pare-feu plus complexes, cohérentes et robustes pour votre réseau avec des coûts de maintenance réduits.

Spécifications

Les ressources des groupes d'adresses présentent les caractéristiques suivantes :

  • Chaque groupe d'adresses est identifié de manière unique par une URL comprenant les éléments suivants :
    • Type de conteneur : détermine le type de groupe d'adresses (organization ou project).
    • ID du conteneur : ID de l'organisation ou du projet.
    • Emplacement : indique si le groupe d'adresses est une ressource global ou régionale (par exemple europe-west).
    • Nom : nom du groupe d'adresses au format suivant :
      • Chaîne de 1 à 63 caractères.
      • Ne comprend que des caractères alphanumériques.
      • Ne doit pas commencer par un chiffre.
  • Vous pouvez créer un identifiant d'URL unique pour un groupe d'adresses au format suivant :

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
    

    Par exemple, un groupe d'adresses global example-address-group dans le projet myproject possède l'identifiant unique à quatre tuples suivant :

    projects/myproject/locations/global/addressGroups/example-address-group
    
  • Chaque groupe d'adresses est associé à un type dont la valeur peut être IPv4 ou IPv6, mais pas les deux. Le type de groupe d'adresses ne peut pas être modifié ultérieurement.

  • Chaque adresse IP ou plage d'adresses IP d'un groupe d'adresses est appelée élément. Le nombre d'éléments que vous pouvez ajouter à un groupe d'adresses dépend de la capacité de celui-ci. Vous pouvez définir la capacité en éléments lors de la création du groupe d'adresses. Vous ne pourrez pas modifier cette capacité par la suite. La capacité maximale que vous pouvez configurer pour un groupe d'adresses est de 1 000 éléments.

  • La capacité d'un groupe d'adresses est ajoutée au nombre total d'attributs de la stratégie de pare-feu dans laquelle le groupe d'adresses est utilisé. Assurez-vous de définir la capacité sur une valeur appropriée en fonction de votre cas d'utilisation.

  • Vous devez spécifier la capacité et le type lorsque vous créez un groupe d'adresses.

  • Si un groupe d'adresses ajouté à la règle de stratégie de pare-feu n'existe pas, le filtre de groupe d'adresses est supprimé de la règle. Pour en savoir plus sur l'ajout de groupes d'adresses sources ou de destination aux règles des stratégie de pare-feu, consultez les sections Sources et Destinations.

Types de groupes d'adresses

Les groupes d'adresses sont classés en fonction de leur champ d'application. Le champ d'application identifie le niveau auquel le groupe d'adresses s'applique dans la hiérarchie des ressources. Les groupes d'adresses sont classés selon les types suivants :

Un groupe d'adresses peut être au niveau du projet ou au niveau de l'organisation, mais pas les deux.

Les groupes d'adresses au niveau de l'organisation peuvent être utilisés dans des stratégies de pare-feu hiérarchiques, des stratégies de pare-feu réseau globales et des stratégies de pare-feu réseau régionales. Les groupes d'adresses au niveau du projet ne peuvent être utilisés que dans des stratégies de pare-feu réseau globales et des stratégies de pare-feu réseau régionales.

Pour les deux types de groupes d'adresses, l'emplacement du groupe d'adresses doit correspondre à celui de la stratégie de pare-feu.

Groupes d'adresses au niveau du projet

Utilisez des groupes d'adresses au niveau du projet lorsque vous souhaitez définir votre propre liste d'adresses IP à utiliser dans un projet ou un réseau afin de bloquer ou d'autoriser une liste d'adresses IP qui sont susceptibles de changer. Par exemple, si vous souhaitez définir votre propre liste de renseignements sur les menaces et l'ajouter à la règle de stratégie de pare-feu, créez un groupe d'adresses avec les adresses IP requises.

Vous pouvez utiliser des groupes d'adresses au niveau du projet dans les règles de pare-feu pour les stratégies de pare-feu réseau. Le type de conteneur des groupes d'adresses au niveau du projet est toujours défini sur project. Pour en savoir plus sur la création et la modification de groupes d'adresses au niveau du projet, consultez la section Utiliser des groupes d'adresses au niveau du projet.

Groupes d'adresses au niveau de l'organisation

Utilisez des groupes d'adresses au niveau de l'organisation lorsque vous souhaitez définir une liste centrale d'adresses IP pouvant être utilisées dans des règles de pare-feu de haut niveau pour fournir un contrôle cohérent pour l'ensemble de l'organisation et réduire la surcharge liée à la gestion par des propriétaires de réseaux et de projets individuels de listes courantes, telles que des services de confiance et des adresses IP internes.

Vous pouvez utiliser des groupes d'adresses au niveau de l'organisation dans les règles de pare-feu pour les stratégies de pare-feu hiérarchiques et les stratégies de pare-feu réseau. Le type de conteneur des groupes d'adresses au niveau de l'organisation est toujours défini sur organization. Pour en savoir plus sur la création et la modification de groupes d'adresses au niveau de l'organisation, consultez la section Utiliser des groupes d'adresses au niveau de l'organisation.

Rôles IAM

Pour créer et gérer un groupe d'adresses, vous devez disposer du rôle Administrateur réseau (compute.networkAdmin) ou du rôle Administrateur de sécurité (compute.securityAdmin). Vous pouvez également définir un rôle personnalisé avec un ensemble d'autorisations équivalent.

Le tableau suivant fournit la liste des autorisations IAM (Identity and Access Management) requises pour effectuer un ensemble de tâches sur des groupes d'adresses.

Tâche Nom de rôle IAM Autorisations IAM
Créer et gérer des groupes d'adresses compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*
Découvrir et afficher des groupes d'adresses compute.networkUser networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Pour en savoir plus sur les rôles incluant des autorisations IAM spécifiques, consultez la documentation de référence sur les autorisations IAM.

Étapes suivantes