Grupos de direcciones para políticas de firewall

Usa grupos de direcciones para combinar varias direcciones IP y rangos de IP en una sola unidad lógica con nombre. Luego, puedes usar esta unidad en varias reglas en las mismas políticas de firewall o en políticas de firewall diferentes.

Los grupos de direcciones eliminan la necesidad de mantener y sincronizar de forma manual los conjuntos de direcciones IP que se usan en varias reglas de firewall. Puedes crear un grupo de direcciones común con todas las direcciones IP o los rangos de IP requeridos. Luego, puedes volver a usar este grupo de direcciones en varias reglas de firewall para la filtración de origen y destino. Si hay algún cambio en el conjunto de direcciones IP, puedes actualizar el grupo de direcciones sin necesidad de actualizar todas las reglas asociadas.

Los grupos de direcciones simplifican la configuración y el mantenimiento de las políticas de firewall. Puedes compartir las direcciones IP en las políticas de firewall y definir políticas de firewall más complejas, coherentes y sólidas para tu red con una sobrecarga de mantenimiento reducida.

Especificaciones

Los recursos del grupo de direcciones tienen las siguientes características:

Cada grupo de direcciones se identifica de forma única mediante una URL con los siguientes elementos:
- Tipo de contenedor: Determina el tipo de grupo de direcciones: organization o project.
- ID del contenedor: ID de la organización o el proyecto.
- Ubicación: Especifica si el grupo de direcciones es un recurso global o regional (como europe-west).
- Nombre: El nombre del grupo de direcciones con el siguiente formato:
  - Una string de 1 a 63 caracteres
  - Solo incluye caracteres alfanuméricos
  - No debe comenzar con un número
Puedes construir un identificador de URL único para un grupo de direcciones en el siguiente formato:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Por ejemplo, un grupo de direcciones global example-address-group en el proyecto myproject tiene el siguiente identificador único de 4 tuplas:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Cada grupo de direcciones tiene un tipo asociado que puede ser IPv4 o IPv6, pero no ambos. El tipo de grupo de direcciones no se puede cambiar más adelante.
Cada dirección IP o rango de IP en un grupo de direcciones se conoce como un elemento. La cantidad de elementos que puedes agregar a un grupo de direcciones depende de la capacidad del grupo de direcciones. Puedes definir la capacidad del elemento durante la creación del grupo de direcciones. Esta capacidad no se puede cambiar más adelante. La capacidad máxima que puedes configurar para un grupo de direcciones es de 1,000 elementos.
La capacidad de un grupo de direcciones se agrega al recuento total de atributos de la política de firewall en la que se usa el grupo de direcciones. Asegúrate de configurar la capacidad en un valor adecuado según tu caso de uso.
Debes especificar la capacidad y el tipo cuando creas un grupo de direcciones.
Si no existe un grupo de direcciones agregado a la regla de política de firewall, el filtro de grupo de direcciones se quita de la regla. Para obtener más información sobre cómo agregar grupos de direcciones de origen o destino a las reglas de políticas de firewall, consulta Orígenes y Destinos.

Tipos de grupos de direcciones

Los grupos de direcciones se clasifican según el permiso. En el permiso se identifica el nivel en el que el grupo de direcciones es aplicable en la jerarquía de recursos. Los grupos de direcciones se clasifican en los siguientes tipos:

Grupos de direcciones con permiso del proyecto
Grupos de direcciones con permiso de la organización

Un grupo de direcciones puede ser con permiso del proyecto o de la organización, pero no ambos.

Los grupos de direcciones con permiso de la organización se pueden usar en políticas de firewall jerárquicas, políticas de firewall de red globales y políticas de firewall de red regionales. Los grupos de direcciones con permiso del proyecto solo se pueden usar en las políticas de firewall de red globales y las políticas de firewall de red regionales.

Para ambos tipos de grupos de direcciones, la ubicación del grupo de direcciones debe coincidir con la ubicación de la política de firewall.

Grupos de direcciones con permiso del proyecto

Usa grupos de direcciones con permiso del proyecto cuando desees definir tu propia lista de direcciones IP que se usarán dentro de un proyecto o una red para bloquear o permitir una lista de direcciones IP que cambian. Por ejemplo, si deseas definir tu propia lista de inteligencia de amenazas y agregarla a la regla de política de firewall, crea un grupo de direcciones con las direcciones IP necesarias.

Puedes usar grupos de direcciones con permiso del proyecto en las reglas de firewall para las políticas de firewall de red. El tipo de contenedor para los grupos de direcciones con permiso del proyecto siempre se establece en project. Para obtener más información sobre cómo crear y modificar grupos de direcciones con permiso del proyecto, consulta Usa grupos de direcciones con permiso del proyecto.

Grupos de direcciones con permiso de la organización

Usa grupos de direcciones con permiso de la organización cuando quieras definir una lista central de direcciones IP que se puedan usar en reglas de firewall de alto nivel para proporcionar control coherente en toda la organización y reducir la sobrecarga para los propietarios de redes y proyectos individuales a fin de mantener listas comunes, como los servicios de confianza y las direcciones IP internas.

Puedes usar grupos de direcciones con permiso de la organización en las reglas de firewall para las políticas de firewall jerárquicas y las políticas de firewall de red. El tipo de contenedor para los grupos de direcciones con permiso de la organización siempre se establece en organization. Para obtener más información sobre cómo crear y modificar grupos de direcciones con permiso de la organización, consulta Usa grupos de direcciones con permiso de la organización.

Funciones de IAM

Para crear y administrar un grupo de direcciones, necesitas el rol de administrador de red (compute.networkAdmin) o el rol de administrador de seguridad (compute.securityAdmin). También puedes definir una función personalizada con un conjunto equivalente de permisos.

En la siguiente tabla, se proporciona una lista de los permisos de Identity and Access Management (IAM) necesarios para realizar un conjunto de tareas en grupos de direcciones.

Tarea Nombre de la función de IAM Permisos de IAM

Crea y administra grupos de direcciones

Tarea	Nombre de la función de IAM	Permisos de IAM
Crea y administra grupos de direcciones	`compute.networkAdmin` `compute.securityAdmin`	`networksecurity.addressGroups.*`
Descubre y visualiza grupos de direcciones	`compute.networkUser`	`networksecurity.addressGroups.list` `networksecurity.addressGroups.get` `networksecurity.addressGroups.use`

compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*

Descubre y visualiza grupos de direcciones

compute.networkUser

networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Para obtener más información sobre qué roles incluyen permisos específicos de IAM, consulta Referencia de permisos de IAM.

¿Qué sigue?

Usa grupos de direcciones