アドレス グループには、複数の IP アドレス、CIDR 形式の IP アドレス範囲、またはその両方が含まれます。各アドレス グループは、Cloud NGFW ファイアウォール ポリシーのルールや Google Cloud Armor セキュリティ ポリシーのルールなど、複数のリソースで使用できます。
アドレス グループの更新は、アドレス グループを参照するリソースに自動的に伝播されます。たとえば、信頼できる IP アドレスのセットが含まれるアドレス グループを作成できます。信頼できる IP アドレスのセットを変更するには、アドレス グループを更新します。アドレス グループの更新は、関連付けられている各リソースに自動的に反映されます。
仕様
アドレス グループ リソースには次の特徴があります。
- 各アドレス グループは、次の要素を含む URL で一意に識別されます。
- コンテナのタイプ: アドレス グループのタイプ(
organizationまたはproject)。 - コンテナ ID: 組織またはプロジェクトの ID。
- ロケーション: アドレス グループが
globalかリージョン リソース(europe-westなど)かを表します。 - 名前: 次の形式のアドレス グループ名。
- 1~63 文字の文字列
- 英数字のみを使用
- 先頭は数字以外
- コンテナのタイプ: アドレス グループのタイプ(
アドレス グループの一意の URL 識別子は、次の形式で構成できます。
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>たとえば、プロジェクト
myproject内のglobalアドレス グループexample-address-groupには、次のような固有の 4 タプル識別子があります。projects/myproject/locations/global/addressGroups/example-address-group各アドレス グループには、IPv4 と IPv6 のいずれかに関連するタイプがあります(両方ではありません)。アドレス グループ タイプを後で変更することはできません。
アドレス グループ内の各 IP アドレスまたは IP 範囲は「項目」と呼ばれます。アドレス グループに追加できる項目数は、アドレス グループの容量によって異なります。アドレス グループの作成時に項目の容量を定義できます。この容量を後で変更することはできません。アドレス グループに構成できる最大容量は、そのアドレス グループを使用するサービスによって異なります。
アドレス グループを作成するときに、容量とタイプを指定する必要があります。また、Google Cloud Armor を使用する場合は、
purposeフィールドをCLOUD_ARMORに設定する必要があります。CLOUD_ARMOR以外の目的でアドレス グループを作成した場合、アドレス グループの最大容量は 1,000 個の IP アドレスです。
アドレス グループのタイプ
アドレス グループはスコープに基づいて分類されます。スコープにより、リソース階層でアドレス グループが適用されるレベルが決まります。アドレス グループは次のタイプに分類されます。
アドレス グループは、プロジェクト スコープと組織スコープのいずれかにできますが、両方に設定することはできません。
プロジェクト スコープのアドレス グループ
プロジェクトまたはネットワーク内で使用する独自の IP アドレスのリストを定義して、変更された IP アドレスリストをブロックまたは許可する場合は、プロジェクト スコープのアドレス グループを使用します。たとえば、独自の脅威インテリジェンス リストを定義してルールに追加する場合は、必要な IP アドレスを含むアドレス グループを作成します。
プロジェクト スコープのアドレス グループのコンテナタイプは、常にproject に設定されます。プロジェクト スコープのアドレス グループの作成、変更の詳細については、プロジェクト スコープのアドレス グループの使用をご覧ください。
組織スコープのアドレス グループ
組織全体に一貫した制御を提供し、個々のネットワークおよびプロジェクト オーナーが信頼できるサービスや内部 IP アドレスなどの共通のリストを維持する際に必要となるオーバーヘッドを削減するには、上位レベルのルールで使用できる IP アドレスの主要なリストを定義して、組織スコープのアドレス グループを使用します。組織スコープのアドレス グループのコンテナタイプは、常に organization に設定されます。組織スコープのアドレス グループを作成、変更する方法については、組織スコープのアドレス グループを使用するをご覧ください。
IAM ロール
アドレス グループを作成して管理するには、ネットワーク管理者ロール(compute.networkAdmin)またはセキュリティ管理者ロール(compute.securityAdmin)が必要です。また、同等の権限セットでカスタムロールを定義することもできます。
次の表に、アドレス グループで一連のタスクを実行するために必要な Identity and Access Management(IAM)権限の一覧を示します。
| タスク | IAM ロール名 | IAM 権限 |
|---|---|---|
| アドレス グループの作成と管理 | compute.networkAdmin
|
networksecurity.addressGroups.* |
| アドレス グループの検出と表示 | compute.networkUser |
networksecurity.addressGroups.list
|
特定の IAM 権限を含むロールの詳細については、IAM 権限のリファレンスをご覧ください。
アドレス グループとファイアウォール ポリシーが連携する仕組み
アドレス グループにより、ファイアウォール ポリシーの構成とメンテナンスが簡単になります。ファイアウォール ポリシー間で IP アドレスを共有することで、メンテナンスの手間を減らしながら、より複雑で一貫性があり、堅牢なファイアウォール ポリシーをネットワークに定義できます。ファイアウォール ポリシーでアドレス グループを使用する場合は、次の追加仕様を考慮します。
アドレス グループの容量は、アドレス グループが使用されているファイアウォール ポリシーの属性の合計数に追加されます。容量は、ユースケースに基づいて適切な値に設定してください。
ファイアウォール ポリシー ルールに追加されたアドレス グループが存在しない場合、アドレス グループ フィルタはルールから削除されます。送信元または宛先アドレス グループをファイアウォール ポリシー ルールに追加する方法については、送信元と宛先をご覧ください。
組織スコープのアドレス グループは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーで使用できます。プロジェクト スコープのアドレス グループは、グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーでのみ使用できます。
プロジェクト スコープと組織スコープの両方のアドレス グループでは、アドレス グループのロケーションをファイアウォール ポリシーのロケーションと一致させる必要があります。