ファイアウォールエンドポイントの作成と管理

このページでは、Google Cloud コンソールと Google Cloud CLI を使用してファイアウォールエンドポイントを構成および管理し、Virtual Private Cloud（VPC）ネットワークに関連付ける方法について説明します。

ゾーンレベルでファイアウォールエンドポイントを作成し、同じゾーン内の 1 つ以上の VPC ネットワークに関連付けます。VPC ネットワークに関連付けられたファイアウォールポリシーでレイヤ 7 インスペクションを有効にしている場合、一致したトラフィックは透過的にインターセプトされ、ファイアウォールエンドポイントに転送されます。

注: このページに記載されているオペレーションの進行状況を確認するには、ユーザーロールに次の Compute ネットワークユーザーロール（roles/compute.networkUser）の権限が付与されていることを確認してください。

networksecurity.operations.get
networksecurity.operations.list

始める前に

VPC ネットワークとサブネットが必要です。
Google Cloud プロジェクトで Compute Engine API を有効にする必要があります。
課金に使用する Google Cloud プロジェクトで Network Security API を有効にする必要があります。
Google Cloud プロジェクトで Certificate Authority Service API を有効にする必要があります。
このガイドの gcloud コマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。

ロール

ファイアウォールエンドポイントの作成、表示、更新、削除を行うために必要な権限を取得するには、組織に必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセス権の管理をご覧ください。

割り当て

ファイアウォールエンドポイントと関連付けの割り当てについては、割り当てと上限をご覧ください。

ファイアウォールエンドポイントを作成する

特定のゾーンにファイアウォールエンドポイントを作成します。

このタスクに必要な権限

このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。

権限

networksecurity.firewallEndpoints.create

ロール

compute.networkAdmin

コンソール

Google Cloud コンソールで [ファイアウォールエンドポイント] ページに移動します。

[ファイアウォールエンドポイント] に移動
プロジェクトセレクタのメニューで、組織を選択します。
[作成] をクリックします。
[リージョン] リストで、ファイアウォールエンドポイントを作成するリージョンを選択します。
[ゾーン] リストで、ファイアウォールエンドポイントを作成するゾーンを選択します。
必要に応じて、[名前] フィールドに名前を入力します。
ファイアウォールエンドポイント名に、個人を特定できる情報やセキュリティデータなどの機密情報を含めないでください。
[課金プロジェクト] リストで、ファイアウォールエンドポイントの課金に使用する Google Cloud プロジェクトを選択します。
[続行] をクリックします。
ファイアウォールエンドポイントの関連付けを追加する場合は、[エンドポイントの関連付けを追加] をクリックします。それ以外の場合は、この手順をスキップします。
1. [プロジェクト] リストで、ファイアウォールエンドポイントの関連付けを作成する Google Cloud プロジェクトを選択します。
2. Google Cloud プロジェクトで Compute Engine API または Network Security API が有効になっていない場合は、[有効にする] をクリックします。
3. [ネットワーク] リストで、ファイアウォールエンドポイントに関連付けるネットワークを選択します。
4. [TLS インスペクションポリシー] リストで、この関連付けに追加する TLS インスペクションポリシーを選択します。
5. 別の関連付けを追加するには、[エンドポイントの関連付けを追加] をクリックします。
[作成] をクリックします。

gcloud

ファイアウォールエンドポイントを作成するには、gcloud network-security firewall-endpoints create コマンドを使用します。

gcloud network-security firewall-endpoints create NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

次のように置き換えます。

NAME: ファイアウォールエンドポイントの名前。
ファイアウォールエンドポイント名に、個人を特定できる情報やセキュリティデータなどの機密情報を含めないでください。
ORGANIZATION_ID: エンドポイントが有効になっている組織。
ZONE: エンドポイントがアクティブになっているゾーン。
BILLING_PROJECT_ID: ファイアウォールエンドポイントの課金に使用される Google Cloud プロジェクト ID。

ファイアウォールエンドポイントを VPC ネットワークに関連付けるには、ファイアウォールエンドポイントの関連付けを作成するをご覧ください。

ファイアウォールエンドポイントを表示する

特定のファイアウォールエンドポイントの詳細を表示できます。

このタスクに必要な権限

このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。

権限

networksecurity.firewallEndpoints.get

ロール

compute.networkAdmin
compute.networkUser
compute.networkViewer

コンソール

Google Cloud コンソールで [ファイアウォールエンドポイント] ページに移動します。

[ファイアウォールエンドポイント] に移動
プロジェクトセレクタのメニューで、組織を選択します。

[ファイアウォールエンドポイント] ページに、組織で構成されているすべてのファイアウォールエンドポイントが一覧表示されます。
ファイアウォールエンドポイントの名前をクリックして、詳細を表示します。

gcloud

ファイアウォールエンドポイントの詳細を表示するには、gcloud network-security firewall-endpoints describe コマンドを使用します。

gcloud network-security firewall-endpoints \
   describe NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE

次のように置き換えます。

NAME: ファイアウォールエンドポイントの名前。
ORGANIZATION_ID: エンドポイントが有効になっている組織。
ZONE: エンドポイントがアクティブになっているゾーン。

ファイアウォールエンドポイントを一覧表示する

組織内のすべてのファイアウォールエンドポイントを一覧表示できます。

このタスクに必要な権限

このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。

権限

networksecurity.firewallEndpoints.list

ロール

compute.networkAdmin
compute.networkUser
compute.networkViewer

コンソール

Google Cloud コンソールで [ファイアウォールエンドポイント] ページに移動します。

[ファイアウォールエンドポイント] に移動
[ファイアウォールエンドポイント] ページに、組織で構成されているすべてのファイアウォールエンドポイントが一覧表示されます。

gcloud

すべてのファイアウォールエンドポイントを一覧表示するには、gcloud network-security firewall-endpoints list コマンドを使用します。

gcloud network-security firewall-endpoints list \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

次のように置き換えます。

ORGANIZATION_ID: エンドポイントが有効になっている組織。
ZONE: エンドポイントがアクティブになっているゾーン。すべてのゾーンのエンドポイントを一覧表示するには、- を使用します。
BILLING_PROJECT_ID: オペレーションの割り当てが課金対象となる Google Cloud プロジェクト ID（省略可）。

ファイアウォールエンドポイントを編集する

組織内のファイアウォールエンドポイントの課金プロジェクトを更新できます。

このタスクに必要な権限

このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。

権限

networksecurity.firewallEndpoints.get

ロール

compute.networkAdmin
compute.networkUser
compute.networkViewer

コンソール

Google Cloud コンソールで [ファイアウォールエンドポイント] ページに移動します。

[ファイアウォールエンドポイント] に移動
プロジェクトセレクタのメニューで、組織を選択します。

[ファイアウォールエンドポイント] ページに、組織で構成されているすべてのファイアウォールエンドポイントが一覧表示されます。
ファイアウォールエンドポイントの名前をクリックして、詳細を表示します。
[編集] をクリックします。
[課金プロジェクト] リストで、ファイアウォールエンドポイントの課金に使用する Google Cloud プロジェクトを選択します。
[保存] をクリックします。

gcloud

ファイアウォールエンドポイントを編集するには、gcloud network-security firewall-endpoints edit コマンドを使用します。

gcloud network-security firewall-endpoints \
   update NAME \
   --organization ORGANIZATION_ID \
   --zone ZONE \
   --billing-project BILLING_PROJECT_ID

次のように置き換えます。

NAME: ファイアウォールエンドポイントの名前。
ORGANIZATION_ID: エンドポイントが有効になっている組織。
ZONE: エンドポイントがアクティブになっているゾーン。
BILLING_PROJECT_ID: 課金用にこのファイアウォールエンドポイントに関連付ける Google Cloud プロジェクト ID。

ファイアウォールエンドポイントを削除する

名前、ゾーン、組織を指定して、ファイアウォールエンドポイントを削除できます。

このタスクに必要な権限

このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。

権限

networksecurity.firewallEndpoints.delete

ロール

compute.networkAdmin

コンソール

Google Cloud コンソールで [ファイアウォールエンドポイント] ページに移動します。

[ファイアウォールエンドポイント] に移動
ファイアウォールエンドポイントを選択し、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。

gcloud

ファイアウォールエンドポイントを削除するには、gcloud network-security firewall-endpoints delete コマンドを使用します。

gcloud network-security firewall-endpoints delete NAME
   --organization ORGANIZATION_ID \
   --zone ZONE

次のように置き換えます。

NAME: ファイアウォールエンドポイントの名前。
ORGANIZATION_ID: エンドポイントが有効になっている組織。
ZONE: エンドポイントがアクティブになっているゾーン。

ファイアウォール エンドポイントの作成と管理

始める前に

ロール

割り当て

ファイアウォール エンドポイントを作成する

このタスクに必要な権限

コンソール

gcloud

ファイアウォール エンドポイントを表示する

このタスクに必要な権限

コンソール

gcloud

ファイアウォール エンドポイントを一覧表示する

このタスクに必要な権限

コンソール

gcloud

ファイアウォール エンドポイントを編集する

このタスクに必要な権限

コンソール

gcloud

ファイアウォール エンドポイントを削除する

このタスクに必要な権限

コンソール

gcloud

次のステップ

ファイアウォールエンドポイントの作成と管理

ファイアウォールエンドポイントを作成する

ファイアウォールエンドポイントを表示する

ファイアウォールエンドポイントを一覧表示する

ファイアウォールエンドポイントを編集する

ファイアウォールエンドポイントを削除する