このページでは、Google Cloud コンソールと Google Cloud CLI を使用してセキュリティ プロファイル グループを作成し、管理する方法について説明します。
始める前に
- プロジェクトで Network Security API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。セキュリティ プロファイルが必要です。
ロール
セキュリティ プロファイル グループを作成、表示、更新、削除するために必要な権限を取得するには、組織に必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセスの管理をご覧ください。
セキュリティ プロファイル グループを作成する
threat prevention タイプのセキュリティ プロファイルを作成できます。
セキュリティ プロファイル グループを作成するときに、セキュリティ プロファイル グループの名前を文字列または一意の URL 識別子として指定できます。組織スコープのセキュリティ プロファイル グループの一意の URL は、次の形式で構成できます。
organization/ORGANIZATION_ID/locations/LOCATION/securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、セキュリティ プロファイル グループの組織とロケーションは URL 識別子にすでに含まれています。ただし、セキュリティ プロファイル グループ名のみを使用する場合は、組織とロケーションを別々に指定する必要があります。一意の URL 識別子の詳細については、セキュリティ プロファイル グループの仕様をご覧ください。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル グループ] タブを選択します。
セキュリティ プロファイル グループを構成します。
- [プロファイル グループを作成] をクリックします。
- 必要に応じて、[名前] フィールドに名前を入力します。
- 省略可: [説明] フィールドに説明を入力します。
- [脅威防止プロファイル] リストで、このセキュリティ プロファイル グループに追加するセキュリティ プロファイルを選択します。
- [作成] をクリックします。
gcloud
セキュリティ プロファイル グループを作成するには、gcloud network-security security-profile-groups create コマンドを使用します。
gcloud network-security security-profile-groups \ create NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --project PROJECT_ID \ --threat-prevention-profile SECURITY_PROFILE_URL \ --description DESCRIPTION
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。SECURITY_PROFILE_URL: セキュリティ プロファイルの一意の URL 識別子。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。
セキュリティ プロファイル グループを表示する
組織内の特定のセキュリティ プロファイル グループの詳細を表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを選択して、詳細を表示します。
gcloud
セキュリティ プロファイル グループの詳細を表示するには、gcloud network-security security-profile-groups describe コマンドを使用します。
gcloud network-security security-profile-groups \
describe NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--project PROJECT_ID
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。
セキュリティ プロファイル グループを一覧表示する
組織内のすべてのセキュリティ プロファイル グループを一覧表示できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
gcloud
セキュリティ プロファイル グループを一覧表示するには、gcloud network-security security-profile-groups list コマンドを使用します。
gcloud network-security security-profile-groups list \ --organization ORGANIZATION_ID \ --location LOCATION \ --billing-project PROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの課金に使用するプロジェクト ID(省略可)。
セキュリティ プロファイル グループを更新する
セキュリティ プロファイル グループで参照されるセキュリティ プロファイル名を更新できます。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを選択して、[編集] をクリックします。
必須フィールドを更新して、[保存] をクリックします。
gcloud
セキュリティ プロファイル グループを更新するには、gcloud network-security security-profile-groups update コマンドを使用します。
gcloud network-security security-profile-groups \ update NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --threat-prevention-profile SECURITY_PROFILE_URL \ --project PROJECT_ID \ --description DESCRIPTION
次のように置き換えます。
NAME: 更新するセキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。SECURITY_PROFILE_URL: セキュリティ プロファイルの一意の URL 識別子。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。
セキュリティ プロファイル グループを削除する
セキュリティ プロファイル グループは、名前、ロケーション、組織を指定して削除できます。ただし、ファイアウォール ポリシーがセキュリティ プロファイルを参照している場合、そのセキュリティ プロファイル グループは削除できません。
コンソール
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを選択し、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
gcloud
セキュリティ プロファイル グループを削除するには、gcloud network-security security-profile-groups delete コマンドを使用します。
gcloud network-security security-profile-groups \ delete NAME \ --organization ORGANIZATION_ID \ --location LOCATION \ --billing-project PROJECT_ID
次のように置き換えます。
NAME: 削除するセキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。