リージョン ネットワーク ファイアウォール ポリシーを使用すると、VPC ネットワークのリージョン内のすべてのサブネットワーク間で一貫したファイアウォール ポリシーを作成して適用できます。リージョン ネットワーク ファイアウォール ポリシーは VPC ネットワークに割り当てることができます。これらのポリシーには、接続を明示的に拒否または許可するか、階層の次のレベルに進むルールが含まれています。
仕様
- リージョン ネットワーク ファイアウォール ポリシーは、グローバル ネットワーク ファイアウォール ポリシーに非常によく似ています。グローバル ネットワーク ファイアウォール ポリシーはすべてのリージョンに自動的に適用されますが、リージョン ネットワーク ファイアウォール ポリシーのターゲット リージョンは 1 つだけです。
- リージョン ネットワーク ファイアウォール ポリシーは VPC レベルで作成されます。ポリシーを作成しても、そのルールが自動的にネットワークに適用されるわけではありません。
- 作成したポリシーは、プロジェクト内の任意の VPC ネットワークに適用(関連付け)できます。
- リージョン ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールのコンテナです。ポリシーを VPC ネットワークに関連付けると、すべてのルールがすぐに適用されます。
- 同じリージョン ネットワーク ファイアウォール ポリシーを、プロジェクト内の複数の VPC ネットワークに関連付けることができます。
- リージョン ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールのタグをサポートしています。詳細については、ファイアウォールにタグを使用するをご覧ください。
リージョン ネットワーク ファイアウォール ポリシーの詳細
リージョン ネットワーク ファイアウォール ポリシー ルールは、ファイアウォール ルールのコンテナとして機能するファイアウォール ポリシー リソースで定義されます。リージョン ネットワーク ファイアウォール ポリシーで定義されたルールは、ポリシーが VPC ネットワークに関連付けられるまで適用されません。
1 つのポリシーを複数の VPC ネットワークに関連付けることができます。ポリシー内のルールを変更すると、そのルールは、現在関連付けられているすべてのネットワークに適用されます。
特定のリージョンでは、1 つのネットワークに関連付けられるリージョン ネットワーク ファイアウォール ポリシーは 1 つだけです。ネットワーク ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、リージョン ネットワーク ファイアウォール ポリシー ルールは、明確に定義された順序で評価されます。
どのネットワークにも関連付けられていないファイアウォール ポリシーは、関連付けのないリージョン ネットワーク ファイアウォール ポリシーです。
リージョン ネットワーク ファイアウォール ポリシールールの詳細
リージョン ネットワーク ファイアウォール ポリシーに含まれるルールは通常、ネットワーク ファイアウォール ポリシー ルールと同じように機能しますが、異なる点がいくつかあります。
リージョンの適用: リージョン ネットワーク ファイアウォール ポリシー ルールは、リージョン ネットワーク ファイアウォール ポリシーが作成されたリージョンにのみ適用されます。
優先順位: リージョン ネットワーク ファイアウォール ポリシー ルールを作成する際には、優先度を指定する必要があります。これらの優先度は一意であり、リージョン ネットワーク ファイアウォール ポリシー内でのみ有効です。
ルールの評価順序はルールの優先度に応じて決まり、最も小さい数値から最も大きい数値の順になります。数値が最も小さいルールが、最も高い論理優先度を持ち、それより低い論理優先度を持つルールよりも先に評価されます。ルールの優先度は、その数が増えると低下します(1、2、3、N+1)。同じ優先度で複数のルールを構成することはできません。
各ルールの優先度は 0~2,147,483,547 の数値に設定する必要があります。優先度の最小の数字は 0 です。2,147,483,548(INT-MAX-99)~2,147,483,647(INT-MAX)の優先度の値は、システムのデフォルトのファイアウォール ルールで予約されています。
評価順序: リージョン ネットワーク ファイアウォール ポリシーは、常にグローバル ネットワーク ファイアウォール ポリシーの後に評価されます。デフォルトでは、グローバルおよびリージョン ネットワーク ファイアウォール ポリシーの前に VPC のファイアウォール ルールが評価されます。ルールの評価順序をカスタマイズして、VPC ファイアウォール ルールの前または後にグローバル ネットワーク ファイアウォール ポリシーを適用することもできます。
リージョン ネットワーク ファイアウォール ポリシー ルールには、ソースとターゲットのセキュアタグも含まれています。
事前定義ルール
リージョン ネットワーク ファイアウォール ポリシーを作成すると、Cloud Next Generation Firewall は優先度が最も低い事前定義ルールをポリシーに追加します。これらのルールは、ポリシーで明示的に定義されたルールと一致しない接続に適用されます。これにより、このような接続は下位レベルのポリシーまたはネットワーク ルールで処理されます。
さまざまなタイプの事前定義ルールとその特性については、事前定義ルールをご覧ください。
Identity and Access Management(IAM)のロール
リージョン ネットワーク ファイアウォール ポリシーを作成および管理するアクションを制御する IAM ロールの詳細については、リージョン ネットワーク ファイアウォール ポリシーの使用をご覧ください。