Adressgruppen für Firewallrichtlinien

Eine Adressgruppe enthält mehrere IP-Adressen, IP-Adressbereiche im CIDR-Format oder beides. Jede Adressgruppe kann von mehreren Ressourcen verwendet werden, z. B. Regeln in Cloud NGFW-Firewallrichtlinien oder Regeln in Google Cloud Armor-Sicherheitsrichtlinien.

Aktualisierungen einer Adressgruppe werden automatisch an die Ressourcen weitergegeben, die auf die Adressgruppe verweisen. Sie können beispielsweise eine Adressgruppe erstellen, die eine Reihe vertrauenswürdiger IP-Adressen enthält. Wenn Sie den Satz vertrauenswürdiger IP-Adressen ändern möchten, aktualisieren Sie die Adressgruppe. Die Aktualisierungen der Adressgruppe werden automatisch in jeder zugehörigen Ressource übernommen.

Spezifikationen

Adressgruppenressourcen haben folgende Eigenschaften:

Jede Adressgruppe wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
- Containertyp: Bestimmt den Typ der Adressgruppe – organization oder project.
- Container-ID: ID der Organisation oder des Projekts.
- Standort: Gibt an, ob die Adressengruppe eine global oder eine regionale Ressource ist (z. B. europe-west).
- Name: Der Name der Adressgruppe im folgenden Format:
  - Ein String mit 1 bis 63 Zeichen
  - Enthält nur alphanumerische Zeichen
  - Darf nicht mit einer Ziffer beginnen
Sie können eine eindeutige URL-ID für eine Adressgruppe im folgenden Format erstellen:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Eine global-Adressgruppe example-address-group im Projekt myproject hat beispielsweise die folgende eindeutige 4-Tupel-Kennung:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Jeder Adressgruppe ist ein Typ zugeordnet, der entweder IPv4 oder IPv6 sein kann, aber nicht beides. Der Adressgruppentyp kann später nicht mehr geändert werden.
Jede IP-Adresse oder jeder IP-Bereich in einer Adressgruppe wird als Element bezeichnet. Die Anzahl der Elemente, die Sie einer Adressgruppe hinzufügen können, hängt von der Kapazität der Adressgruppe ab. Sie können die Elementkapazität während der Erstellung der Adressgruppe definieren. Diese Kapazität kann später nicht mehr geändert werden. Die maximale Kapazität, die Sie für eine Adressgruppe konfigurieren können, hängt vom Produkt ab, mit dem Sie die Adressgruppe verwenden.
Sie müssen beim Erstellen einer Adressgruppe die Kapazität und den Typ angeben. Wenn Sie Google Cloud Armor verwenden, müssen Sie außerdem das Feld purpose auf CLOUD_ARMOR setzen.
Wenn Sie eine Adressgruppe mit einem Zweck erstellen, der nicht CLOUD_ARMOR ist,hat die Adressgruppe eine maximale Kapazität von 1.000 IP-Adressen.

Arten von Adressgruppen

Adressgruppen werden nach ihrem Bereich klassifiziert. Der Bereich gibt die Ebene an, auf der die Adressgruppe in der Ressourcenhierarchie gilt. Adressgruppen sind in folgende Typen unterteilt:

Projektbezogene Adressgruppen
Adressgruppen auf Organisationsebene

Eine Adressgruppe kann entweder projekt- oder organisationsbezogen sein, aber nicht beides.

Projektbezogene Adressgruppen

Verwenden Sie projektbezogene Adressgruppen, wenn Sie eine eigene Liste von IP-Adressen definieren möchten, die in einem Projekt oder einem Netzwerk verwendet werden sollen, um eine Liste ändernder IP-Adressen zu blockieren oder zuzulassen. Wenn Sie beispielsweise eine eigene Threat Intelligence-Liste definieren und einer Regel hinzufügen möchten, erstellen Sie eine Adressgruppe mit den erforderlichen IP-Adressen.

Der Containertyp für projektbezogene Adressgruppen ist immer auf project festgelegt. Weitere Informationen zum Erstellen und Ändern von projektbezogenen Adressgruppen finden Sie unter Projektbezogene Adressgruppen verwenden.

Adressgruppen auf Organisationsebene

Verwenden Sie organisationsbezogene Adressgruppen, wenn Sie eine zentrale Liste von IP-Adressen definieren möchten, die in übergeordneten Regeln verwendet werden können. Damit erhalten Sie eine konsistente Kontrolle für die gesamte Organisation und können den Aufwand für einzelne Netzwerk- und Projektinhaber reduzieren, allgemeine Listen wie vertrauenswürdige Dienste und interne IP-Adressen zu verwalten.

Der Containertyp für organisationsbezogene Adressgruppen ist immer auf organization gesetzt. Weitere Informationen zum Erstellen und Ändern von organisationsbezogenen Adressgruppen finden Sie unter Organisationsbezogene Adressgruppen verwenden.

IAM-Rollen

Zum Erstellen und Verwalten einer Adressgruppe benötigen Sie die Rolle „Netzwerkadministrator“ (compute.networkAdmin) oder die Rolle „Sicherheitsadministrator“ (compute.securityAdmin). Sie können auch eine benutzerdefinierte Rolle mit einem entsprechenden Satz von Berechtigungen definieren.

Die folgende Tabelle enthält eine Liste der IAM-Berechtigungen (Identity and Access Management), die zum Ausführen einer Reihe von Aufgaben für Adressgruppen erforderlich sind.

Aufgabe Name der IAM-Rolle IAM-Berechtigungen

Adressgruppen erstellen und verwalten

Aufgabe	Name der IAM-Rolle	IAM-Berechtigungen
Adressgruppen erstellen und verwalten	`compute.networkAdmin` `compute.securityAdmin`	`networksecurity.addressGroups.*`
Adressgruppen finden und ansehen	`compute.networkUser`	`networksecurity.addressGroups.list` `networksecurity.addressGroups.get` `networksecurity.addressGroups.use`

compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*

Adressgruppen finden und ansehen

compute.networkUser

networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Weitere Informationen dazu, welche Rollen bestimmte IAM-Berechtigungen enthalten, finden Sie in der Referenz für IAM-Berechtigungen.

Funktionsweise von Adressgruppen mit Firewallrichtlinien

Adressgruppen vereinfachen die Konfiguration und Wartung von Firewallrichtlinien. Sie können die IP-Adressen für Firewallrichtlinien freigeben und komplexere, konsistente und robuste Firewallrichtlinien für Ihr Netzwerk mit reduziertem Wartungsaufwand definieren. Beachten Sie die folgenden zusätzlichen Spezifikationen, wenn Sie Adressgruppen mit Firewallrichtlinien verwenden:

Die Kapazität einer Adressgruppe wird zur Gesamtattributanzahl der Firewallrichtlinie hinzugefügt, in der die Adressgruppe verwendet wird. Achten Sie darauf, die Kapazität entsprechend Ihrem Anwendungsfall auf einen geeigneten Wert zu setzen.
Wenn eine der Firewallrichtlinienregel hinzugefügte Adressgruppe nicht vorhanden ist, wird der Adressgruppenfilter aus der Regel entfernt. Weitere Informationen zum Hinzufügen von Quell- oder Zieladressgruppen zu Firewallrichtlinienregeln finden Sie unter Quellen und Ziele.
Adressgruppen auf Organisationsebene können in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien verwendet werden. Projektbezogene Adressgruppen können nur in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien verwendet werden.
Sowohl bei projekt- als auch bei organisationsbezogenen Adressgruppen muss der Standort der Adressgruppe mit dem Standort der Firewallrichtlinie übereinstimmen.

Nächste Schritte

Adressgruppen verwenden