このページでは、Google Cloud コンソールと Google Cloud CLI を使用してセキュリティ プロファイル グループを作成し、管理する方法について説明します。
始める前に
- プロジェクトで Network Security API を有効にする必要があります。
このガイドの
gcloudコマンドラインのサンプルを実行する場合は、gcloud CLI をインストールします。セキュリティ プロファイルが必要です。
ロール
セキュリティ プロファイル グループを作成、表示、更新、削除するために必要な権限を取得するには、組織に必要な IAM ロールの付与を管理者に依頼してください。ロールの付与の詳細については、アクセスの管理をご覧ください。
セキュリティ プロファイル グループを作成する
threat prevention タイプのセキュリティ プロファイルを作成できます。
セキュリティ プロファイル グループを作成するときに、セキュリティ プロファイル グループの名前を文字列または一意の URL 識別子として指定できます。組織スコープのセキュリティ プロファイル グループの一意の URL は、次の形式で構成できます。
organization/ORGANIZATION_ID /locations/LOCATION /securityProfileGroups/SECURITY_PROFILE_GROUP_NAME
セキュリティ プロファイル グループ名に一意の URL 識別子を使用している場合、セキュリティ プロファイル グループの組織とロケーションは URL 識別子にすでに含まれています。ただし、セキュリティ プロファイル グループ名のみを使用する場合は、組織とロケーションを別々に指定する必要があります。一意の URL 識別子の詳細については、セキュリティ プロファイル グループの仕様をご覧ください。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.securityProfileGroups.create
ロール
compute.networkAdmin
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[セキュリティ プロファイル グループ] タブを選択します。
セキュリティ プロファイル グループを構成します。
- [プロファイル グループを作成] をクリックします。
- 必要に応じて、[名前] フィールドに名前を入力します。
- 省略可: [説明] フィールドに説明を入力します。
- [脅威防止プロファイル] リストで、このセキュリティ プロファイル グループに追加するセキュリティ プロファイルを選択します。
- [作成] をクリックします。
セキュリティ プロファイル グループを作成するには、gcloud network-security security-profile-groups create コマンドを使用します。
gcloud network-security security-profile-groups \ createNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --projectPROJECT_ID \ --threat-prevention-profileSECURITY_PROFILE_URL \ --descriptionDESCRIPTION
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。SECURITY_PROFILE_URL: セキュリティ プロファイルの一意の URL 識別子。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。
セキュリティ プロファイル グループを表示する
組織内の特定のセキュリティ プロファイル グループの詳細を表示できます。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.securityProfileGroups.get
ロール
compute.networkAdmincompute.networkUsercompute.networkViewer
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを選択して、詳細を表示します。
セキュリティ プロファイル グループの詳細を表示するには、gcloud network-security security-profile-groups describe コマンドを使用します。
gcloud network-security security-profile-groups \
describe NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--project PROJECT_ID
次のように置き換えます。
NAME: セキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。
セキュリティ プロファイル グループを一覧表示する
組織内のすべてのセキュリティ プロファイル グループを一覧表示できます。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.securityProfileGroups.list
ロール
compute.networkAdmincompute.networkUsercompute.networkViewer
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを一覧表示するには、gcloud network-security security-profile-groups list コマンドを使用します。
gcloud network-security security-profile-groups list \ --organizationORGANIZATION_ID \ --locationLOCATION \ --billing-projectPROJECT_ID
次のように置き換えます。
ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの課金に使用するプロジェクト ID(省略可)。
セキュリティ プロファイル グループを更新する
セキュリティ プロファイル グループで参照されるセキュリティ プロファイル名を更新できます。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.securityProfileGroups.update
ロール
compute.networkAdmin
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを選択して、[編集] をクリックします。
必須フィールドを更新して、[保存] をクリックします。
セキュリティ プロファイル グループを更新するには、gcloud network-security security-profile-groups update コマンドを使用します。
gcloud network-security security-profile-groups \ updateNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --threat-prevention-profileSECURITY_PROFILE_URL \ --projectPROJECT_ID \ --descriptionDESCRIPTION
次のように置き換えます。
NAME: 更新するセキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。SECURITY_PROFILE_URL: セキュリティ プロファイルの一意の URL 識別子。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。DESCRIPTION: セキュリティ プロファイル グループの説明(省略可)。
セキュリティ プロファイル グループを削除する
セキュリティ プロファイル グループは、名前、ロケーション、組織を指定して削除できます。ただし、ファイアウォール ポリシーがセキュリティ プロファイルを参照している場合、そのセキュリティ プロファイル グループは削除できません。
このタスクに必要な権限
このタスクを実施するには、組織に対する次の権限または次の IAM ロールが付与されている必要があります。
権限
networksecurity.securityProfileGroups.delete
ロール
-
compute.networkAdmin
Google Cloud コンソールで、[セキュリティ プロファイル] ページに移動します。
[セキュリティ プロファイル グループ] タブを選択します。このタブには、構成済みのセキュリティ プロファイル グループのリストが表示されます。
セキュリティ プロファイル グループを選択し、[削除] をクリックします。
もう一度 [削除] をクリックして確定します。
セキュリティ プロファイル グループを削除するには、gcloud network-security security-profile-groups delete コマンドを使用します。
gcloud network-security security-profile-groups \ deleteNAME \ --organizationORGANIZATION_ID \ --locationLOCATION \ --billing-projectPROJECT_ID
次のように置き換えます。
NAME: 削除するセキュリティ プロファイル グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION_ID: セキュリティ プロファイル グループが作成される組織。nameフラグに一意の URL 識別子を使用する場合、organizationフラグは省略できます。LOCATION: セキュリティ プロファイル グループのロケーション。ロケーションは常に
globalに設定されます。nameフラグに一意の URL 識別子を使用する場合、locationフラグは省略できます。PROJECT_ID: セキュリティ プロファイル グループの割り当てとアクセス制限に使用するプロジェクト ID(省略可)。