Groupes d'adresses pour les stratégies de pare-feu

Un groupe d'adresses contient plusieurs adresses IP, plusieurs plages d'adresses IP au format CIDR, ou les deux. Chaque groupe d'adresses peut être utilisé par plusieurs ressources, telles que les règles des stratégies de pare-feu Cloud NGFW ou les règles des stratégies de sécurité Google Cloud Armor.

Les modifications apportées à un groupe d'adresses sont automatiquement propagées aux ressources qui font référence à ce groupe. Par exemple, vous pouvez créer un groupe d'adresses contenant un ensemble d'adresses IP approuvées. Pour modifier l'ensemble des adresses IP approuvées, vous devez mettre à jour le groupe d'adresses. Vos modifications apportées au groupe d'adresses sont automatiquement répercutées dans chaque ressource associée.

Spécifications

Les ressources des groupes d'adresses présentent les caractéristiques suivantes :

Chaque groupe d'adresses est identifié de manière unique par une URL comprenant les éléments suivants :
- Type de conteneur : détermine le type de groupe d'adresses (organization ou project).
- ID du conteneur : ID de l'organisation ou du projet.
- Emplacement : indique si le groupe d'adresses est une ressource global ou régionale (par exemple europe-west).
- Nom : nom du groupe d'adresses au format suivant :
  - Chaîne de 1 à 63 caractères.
  - Ne comprend que des caractères alphanumériques.
  - Ne doit pas commencer par un chiffre.
Vous pouvez créer un identifiant d'URL unique pour un groupe d'adresses au format suivant :
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Par exemple, un groupe d'adresses global example-address-group dans le projet myproject possède l'identifiant unique à quatre tuples suivant :
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Chaque groupe d'adresses est associé à un type dont la valeur peut être IPv4 ou IPv6, mais pas les deux. Le type de groupe d'adresses ne peut pas être modifié ultérieurement.
Chaque adresse IP ou plage d'adresses IP d'un groupe d'adresses est appelée élément. Le nombre d'éléments que vous pouvez ajouter à un groupe d'adresses dépend de la capacité de celui-ci. Vous pouvez définir la capacité en éléments lors de la création du groupe d'adresses. Vous ne pourrez pas modifier cette capacité par la suite. La capacité maximale que vous pouvez configurer pour un groupe d'adresses varie en fonction du produit avec lequel vous utilisez le groupe d'adresses.
Vous devez spécifier la capacité et le type lorsque vous créez un groupe d'adresses. De plus, lorsque vous utilisez Google Cloud Armor, vous devez définir le champ purpose sur CLOUD_ARMOR.
Lorsque vous créez un groupe d'adresses dont l'usage n'est pas CLOUD_ARMOR, sa capacité maximale est de 1 000 adresses IP.

Types de groupes d'adresses

Les groupes d'adresses sont classés en fonction de leur champ d'application. Le champ d'application identifie le niveau auquel le groupe d'adresses s'applique dans la hiérarchie des ressources. Les groupes d'adresses sont classés selon les types suivants :

Groupes d'adresses au niveau du projet
Groupes d'adresses au niveau de l'organisation

Un groupe d'adresses peut être au niveau du projet ou au niveau de l'organisation, mais pas les deux.

Groupes d'adresses au niveau du projet

Utilisez des groupes d'adresses au niveau du projet lorsque vous souhaitez définir votre propre liste d'adresses IP à utiliser dans un projet ou un réseau afin de bloquer ou d'autoriser une liste d'adresses IP qui sont susceptibles de changer. Par exemple, si vous souhaitez définir votre propre liste de renseignements sur les menaces et l'ajouter à une règle, créez un groupe d'adresses avec les adresses IP requises.

Le type de conteneur des groupes d'adresses au niveau du projet est toujours défini sur project. Pour en savoir plus sur la création et la modification de groupes d'adresses au niveau du projet, consultez la section Utiliser des groupes d'adresses au niveau du projet.

Groupes d'adresses au niveau de l'organisation

Utilisez des groupes d'adresses au niveau de l'organisation lorsque vous souhaitez définir une liste centrale d'adresses IP pouvant être utilisées dans des règles de haut niveau pour fournir un contrôle cohérent pour l'ensemble de l'organisation et réduire la surcharge liée à la gestion par des propriétaires de réseaux et de projets individuels de listes courantes, telles que des services de confiance et des adresses IP internes.

Le type de conteneur des groupes d'adresses au niveau de l'organisation est toujours défini sur organization. Pour en savoir plus sur la création et la modification de groupes d'adresses au niveau de l'organisation, consultez la section Utiliser des groupes d'adresses au niveau de l'organisation.

Rôles IAM

Pour créer et gérer un groupe d'adresses, vous devez disposer du rôle Administrateur réseau (compute.networkAdmin) ou du rôle Administrateur de sécurité (compute.securityAdmin). Vous pouvez également définir un rôle personnalisé avec un ensemble d'autorisations équivalent.

Le tableau suivant fournit la liste des autorisations IAM (Identity and Access Management) requises pour effectuer un ensemble de tâches sur des groupes d'adresses.

Tâche Nom de rôle IAM Autorisations IAM

Créer et gérer des groupes d'adresses

Tâche	Nom de rôle IAM	Autorisations IAM
Créer et gérer des groupes d'adresses	`compute.networkAdmin` `compute.securityAdmin`	`networksecurity.addressGroups.*`
Découvrir et afficher des groupes d'adresses	`compute.networkUser`	`networksecurity.addressGroups.list` `networksecurity.addressGroups.get` `networksecurity.addressGroups.use`

compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*

Découvrir et afficher des groupes d'adresses

compute.networkUser

networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Pour en savoir plus sur les rôles incluant des autorisations IAM spécifiques, consultez la documentation de référence sur les autorisations IAM.

Fonctionnement des groupes d'adresses avec les règles de pare-feu

Les groupes d'adresses simplifient la configuration et la maintenance des stratégies de pare-feu. Vous pouvez partager les adresses IP entre les stratégies de pare-feu et définir des stratégies de pare-feu plus complexes, cohérentes et robustes pour votre réseau avec des coûts de maintenance réduits. Tenez compte des spécifications supplémentaires suivantes lorsque vous utilisez des groupes d'adresses avec des règles de pare-feu :

La capacité d'un groupe d'adresses est ajoutée au nombre total d'attributs de la stratégie de pare-feu dans laquelle le groupe d'adresses est utilisé. Assurez-vous de définir la capacité sur une valeur appropriée en fonction de votre cas d'utilisation.
Si un groupe d'adresses ajouté à la règle de stratégie de pare-feu n'existe pas, le filtre de groupe d'adresses est supprimé de la règle. Pour en savoir plus sur l'ajout de groupes d'adresses sources ou de destination aux règles des stratégie de pare-feu, consultez les sections Sources et Destinations.
Les groupes d'adresses au niveau de l'organisation peuvent être utilisés dans des stratégies de pare-feu hiérarchiques, des stratégies de pare-feu réseau globales et des stratégies de pare-feu réseau régionales. Les groupes d'adresses au niveau du projet ne peuvent être utilisés que dans des stratégies de pare-feu réseau globales et des stratégies de pare-feu réseau régionales.
Pour les groupes d'adresses au niveau du projet et de l'organisation, l'emplacement du groupe d'adresses doit correspondre à celui de la stratégie de pare-feu.

Étape suivante

Utilisez des groupes d'adresses.