アドレス グループを使用するには、まず要件に関連するアドレス グループの範囲を特定する必要があります。その範囲により、リソース階層でアドレス グループが適用されるレベルが決まります。
個々のプロジェクトに適用されるファイアウォール ポリシー ルールでアドレス グループを使用する場合は、プロジェクトを対象にしたアドレス グループを使用します。
組織やネットワーク内のすべてのリソースの階層全体に適用されるファイアウォール ポリシー ルールでアドレス グループを使用する場合は、組織を対象にしたアドレス グループを使用します。
プロジェクト スコープのアドレス グループ
このセクションでは、プロジェクト スコープのアドレス グループを管理する方法について説明します。
プロジェクト スコープのアドレス グループはプロジェクト レベルで定義され、それらが作成されたプロジェクトにのみ適用されます。アドレス グループを使用するには、グローバル ネットワーク ファイアウォール ポリシーまたはリージョン ネットワーク ファイアウォール ポリシーでファイアウォール グループをアドレス グループに関連付ける必要があります。アドレス グループのロケーションは、それを使用するファイアウォール ポリシーのロケーションと同じでなければなりません。
アドレス グループを作成する
プロジェクト スコープのアドレス グループのコンテナタイプは、常に projects
に設定されます。
アドレス グループを作成する場合、アドレス グループの名前は、文字列または一意の URL 識別子として指定できます。プロジェクト スコープのアドレス グループの一意の URL は、次の形式で構成できます。
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
アドレス グループ名に一意の URL 識別子を使用している場合、アドレス グループのロケーションは URL 識別子にすでに含まれています。ただし、アドレス グループ名のみを使用する場合は、ロケーションを個別に指定する必要があります。一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
アドレス グループには、IPv4 または IPv6 の項目タイプを設定できますが、両方を含めることはできません。また、アドレス グループの容量も指定する必要があります。アドレス グループの作成後は、アドレス グループの名前、項目タイプ、容量を変更できません。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト選択メニューで、プロジェクトを選択します。
[
アドレス グループを作成] をクリックします。[名前] フィールドに名前を入力します。
省略可: [説明] フィールドに説明を入力します。
[スコープ] で、[グローバル] または [リージョン] を選択します。
[リージョン] を選択した場合は、アドレス グループを作成するリージョンを指定します。
[タイプ] で [IPv4] または [IPv6] を選択します。
[目的] で [ファイアウォール] を選択します。
Cloud Next Generation Firewall ポリシーと Google Cloud Armor セキュリティ ポリシーの両方でアドレス グループを使用する場合は、[Cloud NGFW and Cloud Armor] を選択します。
このフィールドの詳細については、アドレス グループの仕様をご覧ください。
[容量] フィールドに、アドレス グループの容量を入力します。
[IP アドレス] フィールドに、アドレス グループに含める IP アドレスまたは IP 範囲を入力します。例:
1.1.1.0/24,1.2.0.0
[作成] をクリックします。
gcloud
アドレス グループを作成するには、gcloud network-security address-groups create
コマンドを使用します。
gcloud network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
次のように置き換えます。
NAME
: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。TYPE
: アドレス グループのタイプ(IPv4 または IPv6)CAPACITY
: アドレス グループの容量LOCATION
: アドレス グループのロケーションglobal
またはリージョン コード(europe-west
など)に設定できます。name
パラメータに一意の URL 識別子を使用する場合は、location
パラメータを省略できます。DESCRIPTION
: アドレス グループの説明(省略可)
アドレス グループの詳細を取得する
アドレス グループの詳細を取得するには、アドレス グループの名前とロケーションを指定する必要があります。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト選択メニューで、プロジェクトを選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
詳細を表示するには、アドレス グループの名前をクリックします。
gcloud
アドレス グループの説明を取得するには、gcloud network-security address-groups describe
コマンドを使用します。
gcloud network-security address-groups describe NAME \ --location LOCATION
アドレス グループを更新する
アドレス グループの名前、タイプ、容量は更新できません。更新できるのはアドレス グループの説明と IP アドレスのみです。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト選択メニューで、プロジェクトを選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
アドレス グループを編集するには、アドレス グループの名前をクリックします。
[
編集] をクリックします。必須フィールドを変更します。
[保存] をクリックします。
gcloud
アドレス グループを更新するには、gcloud network-security address-groups update
コマンドを使用します。
gcloud network-security address-groups update NAME \ --description DESCRIPTION \ --location LOCATION
アドレス グループを一覧表示する
1 つのロケーション内のアドレス グループすべてを一覧表示できます。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト選択メニューで、プロジェクトを選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
gcloud
アドレス グループを一覧表示するには、gcloud network-security address-groups list
コマンドを使用します。
gcloud network-security address-groups list \ --location LOCATION
アドレス グループを削除する
アドレス グループは、アドレス グループの名前と場所を指定して削除できます。ただし、ファイアウォール ポリシーがアドレス グループを参照している場合、そのアドレス グループは削除できません。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト選択メニューで、プロジェクトを選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
削除するアドレス グループの横にあるチェックボックスをオンにします。選択したアドレス グループがファイアウォール ポリシーで参照されていないことを確認します。
[
削除] をクリックします。確認のため、もう一度 [削除] をクリックします。
gcloud
プロジェクト内のアドレス グループを削除するには、gcloud network-security address-groups delete
コマンドを使用します。
gcloud network-security address-groups delete NAME \ --location LOCATION
アドレス グループの参照を確認する
アドレス グループは、ファイアウォール ポリシーで使用されます。特定のアドレス グループを使用するすべてのファイアウォール ポリシーの一覧を確認できます。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト選択メニューで、プロジェクトを選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
アドレス グループの名前をクリックします。
[使用リソース] フィールドには、このアドレス グループを使用するファイアウォール ポリシーが次の形式で表示されます。
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
プロジェクト スコープのアドレス グループを参照するすべてのリソースを一覧表示するには、gcloud network-security address-groups list-references
コマンドを使用します。
gcloud network-security address-groups list-references NAME \ --location LOCATION
アドレス グループに項目を追加する
アドレス グループには、複数の項目(IP アドレスや IP 範囲など)を追加できます。すでにアドレス グループの一部である項目がリクエストに含まれている場合、その項目は無視されます。リクエストに無効な項目が含まれている場合は、リクエスト全体が失敗します。
コンソール
Google Cloud コンソールを使用してアドレス グループに項目を追加するには、アドレス グループを更新するの説明に従います。
gcloud
アドレス グループに項目を追加するには、gcloud network-security address-groups add-items
コマンドを使用します。
gcloud network-security address-groups add-items NAME \ --items ITEMS \ --location LOCATION
次のように置き換えます。
NAME
: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。ITEMS
: IP アドレスまたは IP 範囲のカンマ区切りリスト(CIDR 形式)LOCATION
: アドレス グループのロケーションglobal
またはリージョン コード(europe-west
など)に設定できます。name
パラメータに一意の URL 識別子を使用する場合は、location
パラメータを省略できます。
アドレス グループから項目を削除する
アドレス グループから既存の項目を削除できます。リクエスト内の項目のいずれか無効な場合、リクエストは失敗します。アドレス グループに含まれない項目がリクエスト内にある場合、その項目は無視されます。
コンソール
Google Cloud コンソールを使用してアドレス グループから項目を削除するには、アドレス グループを更新するの説明に従います。
gcloud
アドレス グループから項目を削除するには、gcloud network-security address-groups remove-items
コマンドを使用します。
gcloud network-security address-groups remove-items NAME \ --items ITEMS \ --location LOCATION
別のアドレス グループから項目のクローンを作成する
あるアドレス グループから別のアドレス グループに項目のクローンを作成できます。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト選択メニューで、プロジェクトを選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
クローンを作成するアドレス グループの名前をクリックします。
[クローンを作成] をクリックします。
[アドレス グループのクローンを作成する] ペインの [名前] に名前を入力します。
省略可: [説明] フィールドに説明を入力します。
[スコープ] で、[グローバル] または [リージョン] を選択します。
[リージョン] を選択した場合は、アドレス グループを作成するリージョンを指定します。
[タイプ] で [IPv4] または [IPv6] を選択します。
[目的] で [ファイアウォール] を選択します。
[容量] フィールドに、アドレス グループの容量を入力します。
[IP アドレス] フィールドで、アドレス グループからクローンを作成する IP アドレスまたは IP 範囲を更新します。
[
クローンを作成] をクリックします。
gcloud
Google Cloud CLI を使用してアドレス グループのクローンを作成するには、次のガイドラインに従ってください。
- 両方のアドレス グループは、同じタイプでなければなりません。
- 両方のアドレス グループは、同じリージョンに存在する必要があります。
- 新しいアドレス グループには、クローンを作成する送信元アドレス グループの項目数に合う十分な容量があることを確認してください。
送信元アドレス グループを指定するには、次の一意の URL 識別子の形式を使用します。
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
アドレス グループの一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
アドレス グループから項目のクローンを作成するには、gcloud network-security address-groups clone-items
コマンドを使用します。
gcloud network-security address-groups clone-items NAME \ --source SOURCE_NAMED_LIST \ --location LOCATION
次のように置き換えます。
NAME
: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。SOURCE_NAMED_LIST
: 項目のクローンを作成する送信元アドレス グループの一意の URL 識別子LOCATION
: 宛先アドレス グループのロケーションglobal
またはリージョン コード(europe-west
など)に設定できます。name
パラメータに一意の URL 識別子を使用する場合は、location
パラメータを省略できます。
組織スコープのアドレス グループ
このセクションでは、組織スコープのアドレス グループを管理する方法について説明します。
組織スコープのアドレス グループは、組織レベルで定義され、リソース階層で指定された組織内のすべてのリソースに適用されます。アドレス グループを使用するには、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、またはリージョン ネットワーク ファイアウォール ポリシーのファイアウォール ルールにアドレス グループを関連付ける必要があります。
アドレス グループを作成する
組織スコープのアドレス グループのコンテナタイプは、常に organization
に設定されます。
アドレス グループを作成する場合、アドレス グループの名前は、文字列または一意の URL 識別子として指定できます。組織スコープのアドレス グループの一意の URL は、次の形式で構成できます。
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
アドレス グループ名に一意の URL 識別子を使用する場合、アドレス グループの組織 ID またはロケーションは URL 識別子にすでに含まれています。ただし、アドレス グループ名のみを使用する場合は、組織の ID と、アドレス グループを定義するロケーションを指定する必要があります。一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
アドレス グループには、IPv4 または IPv6 の項目タイプを設定できますが、両方を含めることはできません。また、アドレス グループの容量も指定する必要があります。アドレス グループの作成後は、アドレス グループの名前、項目タイプ、容量を変更できません。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
[
アドレス グループを作成] をクリックします。[名前] フィールドに名前を入力します。
省略可: [説明] フィールドに説明を入力します。
[スコープ] で、[グローバル] または [リージョン] を選択します。
[リージョン] を選択した場合は、アドレス グループを作成するリージョンを指定します。
[タイプ] で [IPv4] または [IPv6] を選択します。
[目的] で [ファイアウォール] を選択します。
[容量] フィールドに、アドレス グループの容量を入力します。
[IP アドレス] フィールドに、アドレス グループに含める IP アドレスまたは IP 範囲を入力します。例:
1.1.1.0/24,1.2.0.0
[作成] をクリックします。
gcloud
組織スコープのアドレス グループを作成するには、gcloud network-security org-address-groups create
コマンドを使用します。
gcloud network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
次のように置き換えます。
NAME
: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION
: アドレス グループが作成される組織 IDname
パラメータに一意の URL 識別子を使用する場合、organization
パラメータは省略できます。TYPE
: アドレス グループのタイプ(IPv4 または IPv6)CAPACITY
: アドレス グループの容量LOCATION
: アドレス グループのロケーションglobal
またはリージョン コード(europe-west
など)に設定できます。name
パラメータに一意の URL 識別子を使用する場合は、location
パラメータを省略できます。DESCRIPTION
: アドレス グループの説明(省略可)
アドレス グループの詳細を取得する
特定のアドレス グループの詳細を表示できます。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
詳細を表示するには、アドレス グループの名前をクリックします。
gcloud
組織スコープのアドレス グループの説明を取得するには、gcloud network-security org-address-groups describe
コマンドを使用します。
gcloud network-security org-address-groups describe NAME \ --organization ORGANIZATION \ --location LOCATION
アドレス グループを更新する
アドレス グループの名前、タイプ、容量は更新できません。更新できるのはアドレス グループの説明と IP アドレスのみです。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
アドレス グループを編集するには、アドレス グループの名前をクリックします。
[
編集] をクリックします。必須フィールドを変更します。
[保存] をクリックします。
gcloud
組織スコープのアドレス グループを更新するには、gcloud network-security org-address-groups update
コマンドを使用します。
gcloud network-security org-address-groups update NAME \ --organization ORGANIZATION \ --description DESCRIPTION \ --location LOCATION
アドレス グループを一覧表示する
1 つのロケーション内のアドレス グループすべてを一覧表示できます。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
gcloud
組織内のアドレス グループを一覧表示するには、gcloud network-security org-address-groups list
コマンドを使用します。
gcloud network-security org-address-groups list \ --organization ORGANIZATION \ --location LOCATION
アドレス グループを削除する
アドレス グループは、名前、組織、ロケーションを指定して削除できます。ファイアウォール ポリシーがアドレス グループを参照している場合、そのアドレス グループは削除できません。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
削除するアドレス グループの横にあるチェックボックスをオンにします。選択したアドレス グループがファイアウォール ポリシーで参照されていないことを確認します。
[
削除] をクリックします。確認のため、もう一度 [削除] をクリックします。
gcloud
組織スコープの宛先グループを削除するには、gcloud network-security org-address-groups delete
コマンドを使用します。
gcloud network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
アドレス グループの参照を確認する
アドレス グループは、ファイアウォール ポリシーで使用されます。特定のアドレス グループを使用するすべてのファイアウォール ポリシーの一覧を確認できます。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
アドレス グループの名前をクリックします。
[使用リソース] フィールドには、このアドレス グループを使用するファイアウォール ポリシーが次の形式で表示されます。
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
組織スコープのアドレス グループを参照するすべてのリソースを一覧表示するには、gcloud network-security org-address-groups list-references
コマンドを使用します。
gcloud network-security org-address-groups list-references NAME \ --organization ORGANIZATION \ --location LOCATION
アドレス グループに項目を追加する
アドレス グループには、複数の項目(IP アドレスや IP 範囲など)を追加できます。すでにアドレス グループの一部である項目をリクエストに含めると、その項目は無視されます。リクエストに無効な項目が含まれている場合は、リクエスト全体が失敗します。
コンソール
Google Cloud コンソールを使用して組織スコープの宛先グループに項目を追加するには、宛先グループを更新するの説明に従ってください。
gcloud
組織スコープのアドレス グループに項目を追加するには、gcloud network-security org-address-groups add-items
コマンドを使用します。
gcloud network-security org-address-groups add-items NAME \ --organization ORGANIZATION \ --items ITEMS \ --location LOCATION
次のように置き換えます。
NAME
: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION
: アドレス グループが作成される組織 IDname
パラメータに一意の URL 識別子を使用する場合、organization
パラメータは省略できます。ITEMS
: IP アドレスまたは IP 範囲のカンマ区切りリスト(CIDR 形式)LOCATION
: アドレス グループのロケーションglobal
またはリージョン コード(europe-west
など)に設定できます。name
パラメータに一意の URL 識別子を使用する場合は、location
パラメータを省略できます。
アドレス グループから項目を削除する
アドレス グループから既存の項目を削除できます。リクエスト内の項目のいずれか無効な場合、リクエストは失敗します。アドレス グループに含まれない項目がリクエスト内にある場合、その項目は無視されます。
コンソール
Google Cloud コンソールを使用して組織スコープのアドレス グループから項目を削除するには、アドレス グループを更新するの説明に従ってください。
gcloud
組織スコープのアドレス グループから項目を削除するには、gcloud network-security org-address-groups remove-items
コマンドを使用します。
gcloud network-security org-address-groups remove-items NAME \ --organization ORGANIZATION \ --items ITEMS \ --location LOCATION
別のアドレス グループから項目のクローンを作成する
あるアドレス グループから別のアドレス グループに項目のクローンを作成できます。
コンソール
Google Cloud コンソールで、[アドレス グループ] ページに移動します。
プロジェクト セレクタのメニューで、組織を選択します。
アドレス グループは [アドレス グループ] セクションに表示されます。
クローンを作成するアドレス グループの名前をクリックします。
[クローンを作成] をクリックします。
[アドレス グループのクローンを作成する] ペインの [名前] に名前を入力します。
省略可: [説明] フィールドに説明を入力します。
[スコープ] で、[グローバル] または [リージョン] を選択します。
[リージョン] を選択した場合は、アドレス グループを作成するリージョンを指定します。
[タイプ] で [IPv4] または [IPv6] を選択します。
[目的] で [ファイアウォール] を選択します。
[容量] フィールドに、アドレス グループの容量を入力します。
[IP アドレス] フィールドで、アドレス グループからクローンを作成する IP アドレスまたは IP 範囲を更新します。
[
クローンを作成] をクリックします。
gcloud
gcloud CLI を使用してアドレス グループのクローンを作成するには、次のガイドラインに従ってください。
- 両方のアドレス グループは、同じタイプでなければなりません。
- 両方のアドレス グループは、同じロケーションに存在する必要があります。
- 新しいアドレス グループには、クローンを作成する送信元アドレス グループの項目数に合う十分な容量があることを確認してください。
送信元アドレス グループを指定するには、次の一意の URL 識別子を使用する必要があります。
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
アドレス グループの一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
組織スコープのアドレス グループから項目のクローンを作成するには、gcloud network-security org-address-groups clone-items
コマンドを使用します。
gcloud network-security org-address-groups clone-items NAME \ --organization ORGANIZATION \ --source SOURCE_NAMED_LIST \ --location LOCATION
次のように置き換えます。
NAME
: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION
: アドレス グループが作成される組織 IDname
パラメータに一意の URL 識別子を使用する場合、organization
パラメータは省略できます。SOURCE_NAMED_LIST
: 項目のクローンを作成する送信元アドレス グループの一意の URL 識別子LOCATION
: 宛先アドレス グループのロケーションglobal
またはリージョン コード(europe-west
など)に設定できます。name
パラメータに一意の URL 識別子を使用する場合は、location
パラメータを省略できます。