Un grupo de direcciones contiene varias direcciones IP, rangos de direcciones IP en CIDR o ambos. Cada grupo de direcciones puede ser utilizado por varios recursos, como reglas en las políticas de firewall de Cloud NGFW o reglas en las políticas de seguridad de Google Cloud Armor.
Las actualizaciones de un grupo de direcciones se propagan automáticamente a los recursos que hacen referencia al grupo de direcciones. Por ejemplo, puedes crear un grupo de direcciones que contenga un conjunto de direcciones IP de confianza. Para cambiar el conjunto de direcciones IP de confianza, debes actualizar el grupo de direcciones. Las actualizaciones del grupo de direcciones se reflejan automáticamente en cada recurso asociado.
Especificaciones
Los recursos del grupo de direcciones tienen las siguientes características:
- Cada grupo de direcciones se identifica de forma única con una URL con los siguientes elementos:
- Tipo de contenedor: Determina el tipo de grupo de direcciones:
organization
oproject
. - ID del contenedor: ID de la organización o el proyecto.
- Ubicación: Especifica si el grupo de direcciones es un recurso
global
o regional (comoeurope-west
). - Nombre: El nombre del grupo de direcciones con el siguiente formato:
- Una string de 1 a 63 caracteres
- Solo incluye caracteres alfanuméricos
- No debe comenzar con un número
- Tipo de contenedor: Determina el tipo de grupo de direcciones:
Puedes construir un identificador de URL único para un grupo de direcciones en el siguiente formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
Por ejemplo, un grupo de direcciones
global
example-address-group
en el proyectomyproject
tiene el siguiente identificador único de 4 tuplas:projects/myproject/locations/global/addressGroups/example-address-group
Cada grupo de direcciones tiene un tipo asociado que puede ser IPv4 o IPv6, pero no ambos. El tipo de grupo de direcciones no se puede cambiar más adelante.
Cada dirección IP o rango de IP en un grupo de direcciones se conoce como un elemento. La cantidad de elementos que puedes agregar a un grupo de direcciones depende de la capacidad del grupo de direcciones. Puedes definir la capacidad del elemento durante la creación del grupo de direcciones. Esta capacidad no se puede cambiar más adelante. La capacidad máxima que puedes configurar para un grupo de direcciones varía según el producto con el que uses el grupo.
Debes especificar la capacidad y el tipo cuando creas un grupo de direcciones. Además, cuando uses Google Cloud Armor, debes establecer el campo
purpose
enCLOUD_ARMOR
.Cuando creas un grupo de direcciones con un propósito que no es
CLOUD_ARMOR
, el grupo de direcciones tiene una capacidad máxima de 1,000 direcciones IP.
Tipos de grupos de direcciones
Los grupos de direcciones se clasifican según el permiso. En el permiso se identifica el nivel en el que el grupo de direcciones es aplicable en la jerarquía de recursos. Los grupos de direcciones se clasifican en los siguientes tipos:
Un grupo de direcciones puede ser con permiso del proyecto o de la organización, pero no ambos.
Grupos de direcciones con permiso del proyecto
Usa grupos de direcciones con permiso del proyecto cuando desees definir tu propia lista de direcciones IP que se usarán dentro de un proyecto o una red para bloquear o permitir una lista de direcciones IP que cambian. Por ejemplo, si deseas definir tu propia lista de inteligencia de amenazas y agregarla a una regla, crea un grupo de direcciones con las direcciones IP requeridas.
El tipo de contenedor para los grupos de direcciones con permiso del proyecto siempre se establece enproject
. Para obtener más información sobre cómo crear y modificar grupos de direcciones con permiso del proyecto, consulta Usa grupos de direcciones con permiso del proyecto.
Grupos de direcciones con permiso de la organización
Usa grupos de direcciones con permiso de la organización cuando quieras definir una lista central de direcciones IP que se puedan usar en reglas de firewall de alto nivel para proporcionar control coherente en toda la organización y reducir la sobrecarga para los propietarios de redes y proyectos individuales y poder mantener listas comunes, como los servicios de confianza y las direcciones IP internas.El tipo de contenedor para los grupos de direcciones con permiso de la organización siempre se establece en organization
. Para obtener más información sobre cómo crear y modificar grupos de direcciones con permiso de la organización, consulta Usa grupos de direcciones con permiso de la organización.
Roles de IAM
Para crear y administrar un grupo de direcciones, necesitas el rol de administrador de red (compute.networkAdmin
) o el rol de administrador de seguridad (compute.securityAdmin
). También puedes definir una función personalizada con un conjunto equivalente de permisos.
En la siguiente tabla, se proporciona una lista de los permisos de Identity and Access Management (IAM) necesarios para realizar un conjunto de tareas en grupos de direcciones.
Tarea | Nombre de la función de IAM | Permisos de IAM |
---|---|---|
Crea y administra grupos de direcciones | compute.networkAdmin
|
networksecurity.addressGroups.* |
Descubre y visualiza grupos de direcciones | compute.networkUser |
networksecurity.addressGroups.list
|
Para obtener más información sobre qué roles incluyen permisos específicos de IAM, consulta Referencia de permisos de IAM.
Cómo funcionan los grupos de direcciones con políticas de firewall
Los grupos de direcciones simplifican la configuración y el mantenimiento de las políticas de firewall. Puedes compartir las direcciones IP en las políticas de firewall y definir políticas de firewall más complejas, coherentes y sólidas para tu red con una sobrecarga de mantenimiento reducida. Ten en cuenta las siguientes especificaciones adicionales cuando uses grupos de direcciones con políticas de firewall:
La capacidad de un grupo de direcciones se agrega al recuento total de atributos de la política de firewall en la que se usa el grupo de direcciones. Asegúrate de configurar la capacidad en un valor adecuado según tu caso de uso.
Si no existe un grupo de direcciones agregado a la regla de política de firewall, el filtro de grupo de direcciones se quita de la regla. Para obtener más información sobre cómo agregar grupos de direcciones de origen o destino a las reglas de políticas de firewall, consulta Orígenes y Destinos.
Los grupos de direcciones con permiso de la organización se pueden usar en políticas de firewall jerárquicas, políticas de firewall de red globales y políticas de firewall de red regionales. Los grupos de direcciones con permiso del proyecto solo se pueden usar en las políticas de firewall de red globales y las políticas de firewall de red regionales.
Para los grupos de direcciones con permiso del proyecto y de la organización, la ubicación del grupo de direcciones debe coincidir con la ubicación de la política de firewall.