Use grupos de endereços para combinar vários endereços IP e intervalos de IP em uma única unidade lógica. Em seguida, use essa unidade em várias regras na mesma política de firewall ou em políticas diferentes.
Os grupos de endereços eliminam a necessidade de manter e sincronizar manualmente os conjuntos de endereços IP usados em várias regras de firewall. É possível criar um grupo de endereços comum com todos os endereços IP ou intervalos de IP necessários. É possível reutilizar esse grupo de endereços em várias regras de firewall para filtragem de origem e destino. Se houver alguma alteração no conjunto de endereços IP, você poderá atualizar o grupo sem precisar atualizar todas as regras associadas.
Os grupos de endereços simplificam a configuração e a manutenção de políticas de firewall. É possível compartilhar os endereços IP entre as políticas de firewall e definir políticas de firewall mais complexas, consistentes e robustas para sua rede, com sobrecarga de manutenção reduzida.
Especificações
Os recursos do grupo de endereços têm as seguintes características:
- Cada grupo de endereços é identificado exclusivamente por um URL com
os seguintes elementos:
- Tipo de contêiner: determina o tipo de grupo de endereços:
organizationouproject. - ID do contêiner:ID da organização ou do projeto.
- Local: especifica se o grupo de endereços é um
globalou recurso regional (comoeurope-west). - Nome: é o nome do grupo de endereços com o seguinte formato:
- Uma string com 1 a 63 caracteres
- Inclui apenas caracteres alfanuméricos
- Não pode começar com um número
- Tipo de contêiner: determina o tipo de grupo de endereços:
Você pode criar um identificador de URL exclusivo para um grupo de endereços no seguinte formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Por exemplo, um grupo de endereços
globalexample-address-groupno projetomyprojecttem o seguinte identificador exclusivo de quatro tuplas:projects/myproject/locations/global/addressGroups/example-address-groupCada grupo de endereços tem um tipo associado que pode ser IPv4 ou IPv6, mas não ambos. O tipo de grupo de endereços não poderá ser alterado posteriormente.
Cada endereço IP ou intervalo de IPs em um grupo de endereços é conhecido como item. O número de itens que você pode adicionar a um grupo de endereços depende da capacidade dele. É possível definir a capacidade do item durante a criação do grupo de endereços. Não é possível alterar essa capacidade depois. A capacidade máxima que pode ser configurada para um grupo de endereços é de 1.000 itens.
A capacidade de um grupo de endereços é adicionada à contagem total de atributos da política de firewall em que o grupo de endereços é usado. Defina a capacidade com um valor apropriado com base no seu caso de uso.
É necessário especificar a capacidade e o tipo ao criar um grupo de endereços.
Se não houver um grupo de endereços adicionado à regra de política de firewall, o filtro de grupo de endereços será removido da regra. Para mais informações sobre como adicionar grupos de endereços de origem ou destino às regras da política de firewall, consulte Origens e Destinos.
Tipos de grupos de endereços
Os grupos de endereços são classificados com base no escopo. O escopo identifica o nível em que o grupo de endereços é aplicável na hierarquia de recursos. Os grupos de endereços são categorizados nos seguintes tipos:
Um grupo de endereços pode ser definido no escopo do projeto ou da organização, mas não ambos.
Os grupos de endereços com escopo da organização podem ser usados em políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall da rede regional. Os grupos de endereços com escopo do projeto só podem ser usados em políticas de firewall de rede global e políticas de firewall de rede regional.
Para os dois tipos de grupos de endereços, o local do grupo de endereços precisa corresponder ao local da política de firewall.
Grupos de endereços com escopo do projeto
Use grupos de endereços com escopo de projeto quando quiser definir sua própria lista de endereços IP a serem usados dentro de um projeto ou uma rede para bloquear ou permitir uma lista de endereços IP variáveis. Por exemplo, se você quiser definir sua própria lista de inteligência de ameaças e adicioná-la à regra da política de firewall, crie um grupo de endereços com os endereços IP necessários.
É possível usar grupos de endereços com escopo de projeto nas regras de firewall para políticas de firewall de rede. O tipo de contêiner para grupos de endereços com escopo do projeto é sempre definido como project. Para mais informações sobre como criar e modificar grupos de endereços com escopo de projeto, consulte Usar grupos de endereços com escopo de projeto.
Grupos de endereços no escopo da organização
Use grupos de endereços com escopo da organização quando quiser definir uma lista central de endereços IP que podem ser usados em regras de firewall de alto nível para fornecer controle consistente para toda a organização e reduzir a sobrecarga de redes de indivíduo e proprietários de projetos para manter listas comuns, como serviços confiáveis e endereços IP internos.
É possível usar grupos de endereços com escopo da organização nas regras de firewall para políticas de firewall hierárquicas e de rede. O tipo de contêiner
para grupos de endereços com escopo da organização é sempre definido como organization. Para mais informações sobre como criar e modificar grupos de endereços no escopo da organização, consulte Usar grupos de endereços com escopo da organização.
Papéis IAM
Para criar e gerenciar um grupo de endereços, é necessário ter o papel de Administrador de rede (compute.networkAdmin) ou de Administrador de segurança (compute.securityAdmin). Também é possível definir
um papel personalizado com um conjunto equivalente de permissões.
Veja na tabela a seguir uma lista de permissões do Identity and Access Management (IAM) necessárias para executar um conjunto de tarefas em grupos de endereços.
| Tarefa | Nome do papel do IAM | Permissões do IAM |
|---|---|---|
| Criar e gerenciar grupos de endereços | compute.networkAdmin
|
networksecurity.addressGroups.* |
| Descobrir e ver grupos de endereços | compute.networkUser |
networksecurity.addressGroups.list
|
Para mais informações sobre quais papéis incluem permissões do IAM específicas, consulte a Referência de permissões do IAM.