リージョン ネットワーク ファイアウォール ポリシーを使用すると、VPC ネットワークのリージョン内のすべてのサブネットワーク間で一貫したファイアウォール ポリシーを作成して適用できます。リージョン ネットワーク ファイアウォール ポリシーは VPC ネットワークに割り当てることができます。これらのポリシーには、接続を明示的に拒否または許可するか、階層の次のレベルに進むルールが含まれています。
仕様
- リージョン ネットワーク ファイアウォール ポリシーは、グローバル ネットワーク ファイアウォール ポリシーに非常によく似ています。グローバル ネットワーク ファイアウォール ポリシーはすべてのリージョンに自動的に適用されますが、リージョン ネットワーク ファイアウォール ポリシーのターゲット リージョンは 1 つだけです。
- リージョン ネットワーク ファイアウォール ポリシーは VPC レベルで作成されます。ポリシーを作成しても、そのルールが自動的にネットワークに適用されるわけではありません。
- 作成したポリシーは、プロジェクト内の任意の VPC ネットワークに適用(関連付け)できます。
- リージョン ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールのコンテナです。ポリシーを VPC ネットワークに関連付けると、すべてのルールがすぐに適用されます。
- 同じリージョン ネットワーク ファイアウォール ポリシーを、プロジェクト内の複数の VPC ネットワークに関連付けることができます。
- リージョン ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールのタグをサポートしています。詳細については、ファイアウォールにタグを使用するをご覧ください。
リージョン ネットワーク ファイアウォール ポリシーの詳細
リージョン ネットワーク ファイアウォール ポリシー ルールは、ファイアウォール ルールのコンテナとして機能するファイアウォール ポリシー リソースで定義されます。リージョン ネットワーク ファイアウォール ポリシーで定義されたルールは、ポリシーが VPC ネットワークに関連付けられるまで適用されません。
1 つのポリシーを複数の VPC ネットワークに関連付けることができます。ポリシー内のルールを変更すると、そのルールは、現在関連付けられているすべてのネットワークに適用されます。
特定のリージョンでは、1 つのネットワークに関連付けられるリージョン ネットワーク ファイアウォール ポリシーは 1 つだけです。ネットワーク ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、リージョン ネットワーク ファイアウォール ポリシー ルールは、明確に定義された順序で評価されます。
どのネットワークにも関連付けられていないファイアウォール ポリシーは、関連付けのないリージョン ネットワーク ファイアウォール ポリシーです。
リージョン ネットワーク ファイアウォール ポリシールールの詳細
リージョン ネットワーク ファイアウォール ポリシーに含まれるルールは通常、ネットワーク ファイアウォール ポリシー ルールと同じように機能しますが、異なる点がいくつかあります。
リージョンの適用: リージョン ネットワーク ファイアウォール ポリシー ルールは、リージョン ネットワーク ファイアウォール ポリシーが作成されたリージョンにのみ適用されます。
優先順位: リージョン ネットワーク ファイアウォール ポリシー ルールを作成する際には、優先度を指定する必要があります。これらの優先度は一意であり、リージョン ネットワーク ファイアウォール ポリシー内でのみ有効です。
ルールの評価順序はルールの優先度に応じて決まり、最も小さい数値から最も大きい数値の順になります。数値が最も小さいルールが、最も高い論理優先度を持ち、それより低い論理優先度を持つルールよりも先に評価されます。ルールの優先度は、その数が増えると低下します(1、2、3、N+1)。同じ優先度で複数のルールを構成することはできません。
各ルールの優先度は 0~2,147,483,547 の数値に設定する必要があります。優先度の最小の数字は 0 です。2,147,483,548(INT-MAX-99)~2,147,483,647(INT-MAX)の優先度の値は、システムのデフォルトのファイアウォール ルールで予約されています。
評価順序: リージョン ネットワーク ファイアウォール ポリシーは、常にグローバル ネットワーク ファイアウォール ポリシーの後に評価されます。デフォルトでは、グローバルおよびリージョン ネットワーク ファイアウォール ポリシーの前に VPC のファイアウォール ルールが評価されます。ルールの評価順序をカスタマイズして、VPC ファイアウォール ルールの前または後にグローバル ネットワーク ファイアウォール ポリシーを適用することもできます。
リージョン ネットワーク ファイアウォール ポリシー ルールには、ソースとターゲットのセキュアタグも含まれています。
事前定義ルール
すべてのリージョン ネットワーク ファイアウォール ポリシーには、優先度が最も低い 4 つの goto_next ルールが事前に定義されています。これらのルールは、ポリシーで明示的に定義されたルールと一致しない接続に適用されます。これにより、このような接続は下位レベルのポリシーまたはネットワーク ルールで処理されます。
これらのルールは、階層型ファイアウォール ポリシー ルールと同じです。事前定義ルールの詳細については、事前定義ルールをご覧ください。
Identity and Access Management(IAM)のロール
リージョン ネットワーク ファイアウォール ポリシーを作成および管理するアクションを制御する IAM ロールの詳細については、リージョン ネットワーク ファイアウォール ポリシーの使用をご覧ください。