Usa grupos de direcciones en las políticas de firewall

Para usar grupos de direcciones, primero debes identificar el permiso del grupo de direcciones que sea relevante para tu requisito. En el permiso se identifica el nivel en el que el grupo de direcciones es aplicable en la jerarquía de recursos.

Si deseas usar un grupo de direcciones en una regla de política de firewall que se aplica a un proyecto individual, usa un grupo de direcciones con permiso del proyecto.

Si deseas usar un grupo de direcciones en una regla de política de firewall aplicable en toda la jerarquía de todos los recursos de una organización o red, usa un grupo de direcciones con permiso de la organización.

Grupos de direcciones con permiso del proyecto

En esta sección, se proporciona información detallada sobre cómo administrar grupos de direcciones con permiso del proyecto.

Los grupos de direcciones con permiso del proyecto se definen a nivel de proyecto y solo se aplican al proyecto en el que se crean. Para usar un grupo de direcciones, debes asociarlo a una regla de firewall en una política de firewall de red global o una política de firewall de red regional. La ubicación del grupo de direcciones debe ser la misma que la de la política de firewall en la que se usa.

Crea un grupo de direcciones

El tipo de contenedor del grupo de direcciones con permiso del proyecto siempre se configura como projects.

Cuando creas un grupo de direcciones, puedes especificar el nombre del grupo de direcciones como una cadena o como un identificador de URL único. La URL única para un grupo de direcciones con permiso del proyecto se puede crear en el siguiente formato:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

Si usas un identificador de URL único para el nombre del grupo de direcciones, la ubicación de ese grupo ya está incluida en el identificador de URL. Sin embargo, si solo usas el nombre del grupo de direcciones, debes especificar la ubicación por separado. Para obtener más información sobre los identificadores de URL únicos, consulta Especificaciones del grupo de direcciones.

Un grupo de direcciones puede tener tipos de elementos IPv4 o IPv6, pero no ambos. También debes especificar la capacidad máxima de un elemento para un grupo de direcciones. Después de crear el grupo de direcciones, no puedes cambiar el nombre, el tipo ni la capacidad del elemento del grupo.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Haz clic en Crear grupo de direcciones.

  4. En el campo Nombre, ingresa un nombre.

  5. Opcional: en el campo Descripción, ingresa una descripción.

  6. En Alcance, elige Global o Regional.

    Si eliges Regional, especifica la región en la que se creará el grupo de direcciones.

  7. En Tipo, selecciona IPv4 o IPv6.

  8. En Propósito, selecciona Firewall.

    Si deseas usar el grupo de direcciones en las políticas de Cloud Next Generation Firewall y las políticas de seguridad de Google Cloud Armor, elige Cloud NGFW y Cloud Armor.

    Para obtener más información sobre este campo, consulta las especificaciones del grupo de direcciones.

  9. En el campo Capacidad, ingresa la capacidad del grupo de direcciones.

  10. En el campo Direcciones IP, enumera las direcciones IP o los rangos de direcciones IP que quieres incluir en el grupo de direcciones. Por ejemplo, 1.1.1.0/24,1.2.0.0

  11. Haz clic en Crear.

gcloud

Para crear un grupo de direcciones, usa el comando gcloud network-security address-groups create:

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Reemplaza lo siguiente:

  • NAME: Es el nombre del grupo de direcciones. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • TYPE: Es el tipo de grupo de direcciones, IPv4 o IPv6.

  • CAPACITY: Es la capacidad del grupo de direcciones.

  • LOCATION: Es la ubicación del grupo de direcciones.

    Se puede establecer en global o en un código regional (como europe-west). Si usas un identificador de URL único para el parámetro name, puedes omitir el parámetro location.

  • DESCRIPTION: Es una descripción opcional para el grupo de direcciones.

Describe un grupo de direcciones

Para ver los detalles de un grupo de direcciones, debes especificar el nombre y la ubicación del grupo.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Para ver los detalles, haz clic en el nombre de tu grupo de direcciones.

gcloud

Para describir un grupo de direcciones, usa el comando gcloud network-security address-groups describe:

gcloud network-security address-groups describe NAME \
    --location LOCATION

Actualiza un grupo de direcciones

No puedes actualizar el nombre, el tipo ni la capacidad del grupo de direcciones. Solo puedes actualizar la descripción del grupo de direcciones y las direcciones IP.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Para editar un grupo de direcciones, haz clic en su nombre.

  5. Haz clic en Editar.

  6. Modifica los campos obligatorios.

  7. Haz clic en Guardar.

gcloud

Para actualizar un grupo de direcciones, usa el comando gcloud network-security address-groups update:

gcloud network-security address-groups update NAME \
    --description DESCRIPTION \
    --location LOCATION

Enumera grupos de direcciones

Puedes enumerar todos los grupos de direcciones de una ubicación.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

gcloud

Para enumerar los grupos de direcciones, usa el comando gcloud network-security address-groups list:

gcloud network-security address-groups list \
    --location LOCATION

Borra un grupo de direcciones

Puedes borrar un grupo de direcciones si especificas su nombre y ubicación. Sin embargo, si una política de firewall hace referencia al grupo de direcciones, ese grupo no se puede borrar.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Selecciona la casilla de verificación junto al grupo de direcciones que deseas borrar. Asegúrate de que ninguna política de firewall haga referencia al grupo de direcciones seleccionado.

  5. Haz clic en Borrar y, luego, en Borrar de nuevo para confirmar.

gcloud

Para borrar un grupo de direcciones en un proyecto, usa el comando gcloud network-security address-groups delete:

gcloud network-security address-groups delete NAME \
  --location LOCATION

Busca referencias del grupo de direcciones

Las políticas de firewall usan un grupo de direcciones. Puedes encontrar la lista de todas las políticas de firewall que usan un grupo de direcciones específico.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Haz clic en el nombre de tu grupo de direcciones.

  5. En el campo Usado por, las políticas de firewall que usan este grupo de direcciones se enumeran en el siguiente formato:

    POLICY_NAME(rule priority:PRIORITY_NUMBER)

gcloud

Para enumerar todos los recursos que hacen referencia a un grupo de direcciones centrado en el proyecto, usa el comando gcloud network-security address-groups list-references:

gcloud network-security address-groups list-references NAME \
    --location LOCATION

Agrega elementos a un grupo de direcciones

Puedes agregar varios elementos, como direcciones IP o rangos de IP, a un grupo de direcciones. Si la solicitud contiene elementos que ya forman parte de los grupos de direcciones, esos elementos se ignoran. Si la solicitud contiene elementos no válidos, la solicitud completa falla.

Console

Para agregar un elemento a un grupo de direcciones con la consola de Google Cloud, sigue el procedimiento que se menciona en Cómo actualizar un grupo de direcciones.

gcloud

Para agregar elementos a un grupo de direcciones, usa el comando gcloud network-security address-groups add-items:

gcloud network-security address-groups add-items NAME \
    --items ITEMS \
    --location LOCATION

Reemplaza lo siguiente:

  • NAME: Es el nombre del grupo de direcciones. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ITEMS: Es una lista separada por comas de direcciones IP o rangos de IP en formato CIDR.

  • LOCATION: Es la ubicación del grupo de direcciones.

    Se puede establecer en global o en un código regional (como europe-west). Si usas un identificador de URL único para el parámetro name, puedes omitir el parámetro location.

Quita un elemento de un grupo de direcciones

Puedes quitar elementos existentes de un grupo de direcciones. Si alguno de los elementos de la solicitud no es válido, la solicitud falla. Si la solicitud contiene elementos que no forman parte del grupo de direcciones, esos elementos se ignoran.

Console

Para quitar un elemento de un grupo de direcciones con la consola de Google Cloud, sigue el procedimiento que se menciona en Cómo actualizar un grupo de direcciones.

gcloud

Para quitar elementos de un grupo de direcciones, usa el comando gcloud network-security address-groups remove-items:

gcloud network-security address-groups remove-items NAME \
    --items ITEMS \
    --location LOCATION

Clona elementos de otro grupo de direcciones

Puedes clonar elementos de un grupo de direcciones a otro.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Haz clic en el nombre del grupo de direcciones que deseas clonar.

  5. Haz clic en Clonar.

  6. En el panel Clonar grupo de direcciones, en Nombre, ingresa un nombre.

  7. Opcional: en el campo Descripción, ingresa una descripción.

  8. En Alcance, selecciona Global o Regional.

    Si eliges Regional, especifica la región en la que se creará el grupo de direcciones.

  9. En Tipo, selecciona IPv4 o IPv6.

  10. En Propósito, selecciona Firewall.

  11. En el campo Capacidad, ingresa la capacidad del grupo de direcciones.

  12. En el campo Direcciones IP, actualiza las direcciones IP o los rangos de IP que se clonan del grupo de direcciones.

  13. Haz clic en Clonar.

gcloud

Para clonar un grupo de direcciones con Google Cloud CLI, sigue estos lineamientos:

  • Ambos grupos de direcciones deben ser del mismo tipo.
  • Ambos grupos de direcciones deben estar en la misma región.
  • Asegúrate de que el nuevo grupo de direcciones tenga capacidad suficiente para acomodar los elementos del grupo de direcciones de origen que se clonan.

  • Para especificar el grupo de direcciones de origen, usa el siguiente formato de identificador de URL único:

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    A fin de obtener más información sobre los identificadores de URL únicos para los grupos de direcciones, consulta Especificaciones de los grupos de direcciones.

Para clonar elementos de un grupo de direcciones, usa el comando gcloud network-security address-groups clone-items:

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Reemplaza lo siguiente:

  • NAME: Es el nombre del grupo de direcciones. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • SOURCE_NAMED_LIST: Es un identificador de URL único del grupo de direcciones de origen desde el que se clonan los elementos.

  • LOCATION: Es la ubicación de destino del grupo de direcciones.

    Se puede establecer en global o en un código regional (como europe-west). Si usas un identificador de URL único para el parámetro name, puedes omitir el parámetro location.

Grupos de direcciones con permiso de la organización

En esta sección, se proporciona información detallada sobre cómo administrar grupos de direcciones con permiso de la organización.

Los grupos de direcciones con permiso de la organización se definen a nivel de la organización y se aplican a todos los recursos de la organización como se especifica en la jerarquía de recursos. Para usar un grupo de direcciones, debes asociarlo a una regla de firewall en una política de firewall jerárquica, una política de firewall de red global o una política de firewall de red regional

Crea un grupo de direcciones

El tipo de contenedor del grupo de direcciones con permiso de la organización siempre se configura como organization.

Cuando creas un grupo de direcciones, puedes especificar el nombre del grupo de direcciones como una cadena o como un identificador de URL único. La URL única para un grupo de direcciones con permiso de la organización se puede crear en el siguiente formato:

organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Si usas un identificador de URL único para el nombre del grupo de direcciones, el ID de la organización o la ubicación del grupo de direcciones ya están incluidos en el identificador de URL. Sin embargo, si usas solo el nombre del grupo de direcciones, debes especificar el ID de la organización y la ubicación en la que defines el grupo de direcciones. Para obtener más información sobre los identificadores de URL únicos, consulta Especificaciones del grupo de direcciones.

Un grupo de direcciones puede tener tipos de elementos IPv4 o IPv6, pero no ambos. También debes especificar la capacidad máxima de un elemento para un grupo de direcciones. Después de crear el grupo de direcciones, no puedes cambiar el nombre, el tipo ni la capacidad del elemento del grupo.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Haz clic en Crear grupo de direcciones.

  4. En el campo Nombre, ingresa un nombre.

  5. Opcional: en el campo Descripción, ingresa una descripción.

  6. En Alcance, selecciona Global o Regional.

    Si eliges Regional, especifica la región en la que se creará el grupo de direcciones.

  7. En Tipo, selecciona IPv4 o IPv6.

  8. En Propósito, selecciona Firewall.

  9. En el campo Capacidad, ingresa la capacidad del grupo de direcciones.

  10. En el campo Direcciones IP, enumera las direcciones IP o los rangos de direcciones IP que quieres incluir en el grupo de direcciones. Por ejemplo, 1.1.1.0/24,1.2.0.0

  11. Haz clic en Crear.

gcloud

Para crear un grupo de direcciones centrado en la organización, usa el comando gcloud network-security org-address-groups create:

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Reemplaza lo siguiente:

  • NAME: Es el nombre del grupo de direcciones. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION: Es el ID de la organización en la que se crea el grupo de direcciones.

    Si usas un identificador de URL único para el parámetro name, puedes omitir el parámetro organization.

  • TYPE: Es el tipo de grupo de direcciones, IPv4 o IPv6.

  • CAPACITY: Es la capacidad del grupo de direcciones.

  • LOCATION: Es la ubicación del grupo de direcciones.

    Se puede establecer en global o en un código regional (como europe-west). Si usas un identificador de URL único para el parámetro name, puedes omitir el parámetro location.

  • DESCRIPTION: Es una descripción opcional para el grupo de direcciones.

Describe un grupo de direcciones

Puedes ver los detalles de un grupo de direcciones específico.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Para ver los detalles, haz clic en el nombre de tu grupo de direcciones.

gcloud

Para describir un grupo de direcciones centrado en la organización, usa el comando gcloud network-security org-address-groups describe:

gcloud network-security org-address-groups describe NAME \
    --organization ORGANIZATION \
    --location LOCATION

Actualiza un grupo de direcciones

No puedes actualizar el nombre, el tipo ni la capacidad del grupo de direcciones. Solo puedes actualizar la descripción del grupo de direcciones y las direcciones IP.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Para editar un grupo de direcciones, haz clic en su nombre.

  5. Haz clic en Editar.

  6. Modifica los campos obligatorios.

  7. Haz clic en Guardar.

gcloud

Para actualizar un grupo de direcciones con permiso de la organización, usa el comando gcloud network-security org-address-groups update:

gcloud network-security org-address-groups update NAME \
    --organization ORGANIZATION \
    --description DESCRIPTION \
    --location LOCATION

Enumera grupos de direcciones

Puedes enumerar todos los grupos de direcciones de una ubicación.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

gcloud

Para enumerar los grupos de direcciones de una organización, usa el comando gcloud network-security org-address-groups list:

gcloud network-security org-address-groups list \
    --organization ORGANIZATION \
    --location LOCATION

Borra un grupo de direcciones

Puedes borrar un grupo de direcciones si especificas su nombre, organización y ubicación. Si una política de firewall hace referencia al grupo de direcciones, ese grupo no se puede borrar.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Selecciona la casilla de verificación junto al grupo de direcciones que deseas borrar. Asegúrate de que ninguna política de firewall haga referencia al grupo de direcciones seleccionado.

  5. Haz clic en Borrar y, luego, en Borrar de nuevo para confirmar.

gcloud

Para borrar un grupo de direcciones centrado en la organización, usa el comando gcloud network-security org-address-groups delete:

gcloud network-security org-address-groups delete NAME \
  --organization ORGANIZATION \
  --location LOCATION

Busca referencias del grupo de direcciones

Las políticas de firewall usan un grupo de direcciones. Puedes encontrar la lista de todas las políticas de firewall que usan un grupo de direcciones específico.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Haz clic en el nombre de tu grupo de direcciones.

  5. En el campo Usado por, las políticas de firewall que usan este grupo de direcciones se enumeran en el siguiente formato:

    POLICY_NAME(rule priority:PRIORITY_NUMBER)

gcloud

Para enumerar todos los recursos que hacen referencia a un grupo de direcciones con permiso de la organización, usa el comando gcloud network-security org-address-groups list-references:

gcloud network-security org-address-groups list-references NAME \
    --organization ORGANIZATION \
    --location LOCATION

Agrega elementos a un grupo de direcciones

Puedes agregar varios elementos, como direcciones IP o rangos de IP, a un grupo de direcciones. Si la solicitud contiene elementos que ya forman parte del grupo de direcciones, estos se ignoran. Si la solicitud contiene elementos no válidos, la solicitud completa falla.

Console

Para agregar un elemento a un grupo de direcciones con permiso de organización con la consola de Google Cloud, sigue el procedimiento que se menciona en Cómo actualizar un grupo de direcciones.

gcloud

Para agregar elementos a un grupo de direcciones centrado en la organización, usa el comando gcloud network-security org-address-groups add-items:

gcloud network-security org-address-groups add-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Reemplaza lo siguiente:

  • NAME: Es el nombre del grupo de direcciones. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION: Es el ID de la organización en la que se crea el grupo de direcciones.

    Si usas un identificador de URL único para el parámetro name, puedes omitir el parámetro organization.

  • ITEMS: Es una lista separada por comas de direcciones IP o rangos de IP en formato CIDR.

  • LOCATION: Es la ubicación del grupo de direcciones.

    Se puede establecer en global o en un código regional (como europe-west). Si usas un identificador de URL único para el parámetro name, puedes omitir el parámetro location.

Quita un elemento de un grupo de direcciones

Puedes quitar elementos existentes de un grupo de direcciones. Si alguno de los elementos de la solicitud no es válido, la solicitud falla. Si la solicitud contiene elementos que no forman parte del grupo de direcciones, esos elementos se ignoran.

Console

Para quitar un elemento de un grupo de direcciones con permiso de organización con la consola de Google Cloud, sigue el procedimiento que se menciona en Cómo actualizar un grupo de direcciones.

gcloud

Para quitar un elemento de un grupo de direcciones con permiso de organización, usa el comando gcloud network-security org-address-groups remove-items:

gcloud network-security org-address-groups remove-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Clona elementos de otro grupo de direcciones

Puedes clonar elementos de un grupo de direcciones a otro.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones.

  2. En el menú de selección de proyectos, selecciona tu organización.

  3. Los grupos de direcciones se enumeran en la sección Grupos de direcciones.

  4. Haz clic en el nombre del grupo de direcciones que deseas clonar.

  5. Haz clic en Clonar.

  6. En el panel Clonar grupo de direcciones, en Nombre, ingresa un nombre.

  7. Opcional: en el campo Descripción, ingresa una descripción.

  8. En Alcance, selecciona Global o Regional.

    Si eliges Regional, especifica la región en la que se creará el grupo de direcciones.

  9. En Tipo, selecciona IPv4 o IPv6.

  10. En Propósito, selecciona Firewall.

  11. En el campo Capacidad, ingresa la capacidad del grupo de direcciones.

  12. En el campo Direcciones IP, actualiza las direcciones IP o los rangos de IP que se clonan del grupo de direcciones.

  13. Haz clic en Clonar.

gcloud

Para clonar un grupo de direcciones con gcloud CLI, sigue estos lineamientos:

  • Ambos grupos de direcciones deben ser del mismo tipo.
  • Ambos grupos de direcciones deben estar en la misma ubicación.
  • Asegúrate de que el nuevo grupo de direcciones tenga capacidad suficiente para acomodar los elementos del grupo de direcciones de origen que se clonan.

  • Para especificar el grupo de direcciones de origen, debes usar el siguiente identificador de URL único:

    organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

A fin de obtener más información sobre los identificadores de URL únicos para los grupos de direcciones, consulta Especificaciones de los grupos de direcciones.

Para clonar elementos desde un grupo de direcciones centrado en la organización, usa el comando gcloud network-security org-address-groups clone-items:

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Reemplaza lo siguiente:

  • NAME: Es el nombre del grupo de direcciones. Puedes especificar el nombre como una cadena o como un identificador de URL único.

  • ORGANIZATION: Es el ID de la organización en la que se crea el grupo de direcciones.

    Si usas un identificador de URL único para el parámetro name, puedes omitir el parámetro organization.

  • SOURCE_NAMED_LIST: Es un identificador de URL único del grupo de direcciones de origen desde el que se clonan los elementos.

  • LOCATION: Es la ubicación de destino del grupo de direcciones.

    Se puede establecer en global o en un código regional (como europe-west). Si usas un identificador de URL único para el parámetro name, puedes omitir el parámetro location.

¿Qué sigue?