このページは、階層型ファイアウォール ポリシーで説明されているコンセプトを理解していることを前提としています。階層型ファイアウォール ポリシーの実装例については、階層型ファイアウォール ポリシーの例をご覧ください。
制限事項
- 階層型ファイアウォール ポリシーのルールでは、ソースタグやソース サービス アカウントはサポートされていません。
- 階層型ファイアウォール ポリシーのルールでは、ターゲットの定義にネットワーク タグを使用することはサポートされていません。代わりに、ターゲット VPC ネットワークまたはターゲット サービス アカウントを使用する必要があります。
- ファイアウォール ポリシーは、フォルダレベルと組織レベルで適用されますが、VPC ネットワーク レベルでは適用されません。通常の VPC ファイアウォール ルールは VPC ネットワークでサポートされています。
- ノード(フォルダまたは組織)に関連付けることができるファイアウォール ポリシーは 1 つだけですが、フォルダの下の仮想マシン(VM)インスタンスは VM を越えてノードの階層全体からルールを継承できます。
- ファイアウォール ルールのロギングは、
allowルールとdenyルールではサポートされますが、goto_nextルールではサポートされません。 - IPv6 ホップバイホップ プロトコルはファイアウォール ルールでサポートされていません。
ファイアウォール ポリシーのタスク
ファイアウォール ポリシーを作成する
ポリシーは、組織階層の任意のノード、組織、フォルダに作成できます。ポリシーを作成したら、組織内の任意のノードに関連付けることができます。関連付けが終わると、階層内の関連するノードにある VM に対してポリシーのルールがアクティブになります。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID または組織内のフォルダを選択します。
[ファイアウォール ポリシーを作成] をクリックします。
ポリシーに名前を付けます。
ポリシーのルールを作成する場合は、[続行] > [ルールを追加] をクリックします。
詳しくは、ファイアウォール ルールを作成するをご覧ください。
ポリシーをノードに関連付けるには、[続行] > [ポリシーとリソースの関連付け] をクリックします。
詳細については、ポリシーを組織またはフォルダに関連付けるをご覧ください。
[作成] をクリックします。
gcloud
gcloud compute firewall-policies create \
[--organization ORG_ID] | --folder FOLDER_ID] \
--short-name SHORT_NAME
次のように置き換えます。
ORG_ID: 組織の ID
組織レベルでポリシーを作成する場合、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーが組織ノードに自動的に関連付けられることはありません。FOLDER_ID: フォルダの ID
特定のフォルダにポリシーを作成する場合は、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーがそのフォルダに自動的に関連付けられることはありません。SHORT_NAME: ポリシーの名前
Google Cloud CLI で作成したポリシーには 2 つの名前があります。1 つはシステム生成名、もう 1 つはユーザーが指定した略称です。Google Cloud CLI を使用して既存のポリシーを更新する場合は、システム生成の名前を使用するか、略称と組織 ID を指定します。API を使用してポリシーを更新する場合は、システムが生成した名前を指定する必要があります。
ファイアウォール ルールを作成する
階層型ファイアウォール ポリシーのルールは、階層型ファイアウォール ポリシーに作成される必要があります。含まれるポリシーをノードに関連付けるまで、ルールは有効になりません。
各階層型ファイアウォール ポリシールールには、IPv4 または IPv6 の範囲のいずれかを含めることができます。両方を含めることはできません。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーの名前をクリックします。
[ルールを追加] をクリックします。
ルール フィールドに、次の内容を入力します。
- 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100、200、300など)。 - ログの収集を [オン] または [オフ] に設定します。
- [トラフィックの方向] で、このルールが上り(内向き)ルールか下り(外向き)ルールかを指定します。
[一致したときのアクション] で、次のいずれかのオプションを選択します。
- 許可: ルールに一致する接続を許可します。
- 拒否: ルールに一致する接続を拒否します。
- 次に移動: 接続の評価が、階層内で 1 つ下のファイアウォール ルールに渡されます。
- L7 検査に進む: レイヤ 7 検査用に構成されたファイアウォール エンドポイントにパケットを送信します。
- [セキュリティ プロファイル グループ] リストで、セキュリティ プロファイル グループの名前を選択します。
- パケットの TLS 検査を有効にするには、[TLS インスペクションを有効にする] を選択します。
VM の各ネットワーク インターフェースに対するルールと対応するアクションの評価方法については、ポリシーとルールの評価順序をご覧ください。
(省略可)[ターゲット ネットワーク] フィールドにネットワークを指定し、特定のネットワークにルールを限定できます。[ネットワークを追加] をクリックし、[プロジェクト] と [ネットワーク] を選択します。1 つのルールに複数のターゲット ネットワークを追加できます。
(省略可)[ターゲット サービス アカウント] フィールドにアカウントを指定することで、特定のサービス アカウントに対するアクセス権で実行されている VM にルールを制限できます。
上り(内向き)ルールの場合、[送信元] フィルタを指定します。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で受信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。
- 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
下り(外向き)ルールの場合、[送信先フィルタ] を指定します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 送信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信先の場合は、
::/0を使用します。
- 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
(省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の FQDN を指定します。下り(外向き)ルールを作成する場合は、このルールを適用する宛先の FQDN を選択します。ドメイン名オブジェクトの詳細については、ドメイン名オブジェクトをご覧ください。
(省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の位置情報を選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の位置情報を選択します。位置情報オブジェクトの詳細については、位置情報オブジェクトをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元アドレス グループを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先アドレス グループを選択します。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。
省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の Google Cloud 脅威インテリジェンスのリストを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の Google Cloud 脅威インテリジェンスのリストを選択します。脅威インテリジェンスの詳細については、ファイアウォール ポリシールールの脅威インテリジェンスをご覧ください。
省略可: 上り(内向き)ルールの場合、送信先フィルタを指定します。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
0.0.0.0/0を使用します。 - 受信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6 範囲] を選択し、[送信先 IPv6 範囲] フィールドに CIDR ブロックを入力します。任意の IPv6 送信先の場合は、
::/0を使用します。詳細については、上り(内向き)ルールの送信先をご覧ください。
- 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、
省略可: 下り(外向き)ルールの場合は、[送信元] フィルタを指定します。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
0.0.0.0/0を使用します。 - 送信元 IPv6 の範囲で送信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、
::/0を使用します。詳細については、下り(外向き)ルールの送信元をご覧ください。
- 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、
[プロトコルとポート] で、すべてのプロトコルとポートにルールを適用することを指定するか、適用するプロトコルと宛先ポートを指定します。
IPv4 ICMP を指定するには、
icmpまたはプロトコル番号1を使用します。IPv6 ICMP を指定するには、プロトコル番号58を使用します。プロトコルの詳細については、プロトコルとポートをご覧ください。[作成] をクリックします。
- 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
[ルールを追加] をクリックして別のルールを追加します。
[続行] > [ポリシーとリソースの関連付け] をクリックして、ポリシーをリソースに関連付けるか、[作成] をクリックしてポリシーを作成します。
gcloud
gcloud compute firewall-policies rules create PRIORITY \
[--organization ORG_ID] \
--firewall-policy POLICY_NAME \
[--direction DIRECTION] \
[--src-ip-ranges IP_RANGES] \
[--dest-ip-ranges IP_RANGES ] \
[--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
[--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
[--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
[--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
[--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
[--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
[--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
--action ACTION \
[--security-profile-group SECURITY_PROFILE_GROUP] \
[--tls-inspect | --no--tls-inspect] \
[--layer4-configs PROTOCOL_PORT] \
[--target-resources NETWORKS] \
[--target-service-accounts SERVICE_ACCOUNTS] \
[--enable-logging | --no-enable-logging] \
[--disabled]
次のように置き換えます。
PRIORITY: ルールの数値評価順序ルールは、最も高い優先度から順番に評価されます(最も高い優先度は
0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100、200、300など)。ORG_ID: 組織の IDPOLICY_NAME: ポリシーの略称またはシステムによって生成された名前DIRECTION: ルールがINGRESS(デフォルト)ルールまたはEGRESSルールのどちらであるかを示します。- トラフィックの送信元の IP 範囲を指定するには、
--src-ip-rangesを含めます。 - トラフィックの宛先の IP 範囲を指定するには、
--dest-ip-rangesを含めます。
- トラフィックの送信元の IP 範囲を指定するには、
IP_RANGES: CIDR 形式の IP 範囲のカンマ区切りリスト(すべての IPv4 範囲またはすべての IPv6 範囲)。例:--src-ip-ranges=10.100.0.1/32,10.200.0.0/24--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96COUNTRY_CODE: 2 文字の国コードのカンマ区切りリスト- 上り(内向き)方向の場合は
--src-region-codeパラメータで送信元の国コードを指定します。下り(外向き)方向の場合、--src-region-codeパラメータは使用できません。 - 下り(外向き)方向の場合は
--dest-region-codeパラメータで宛先の国コードを指定します。上り(内向き)方向の場合、--dest-region-codeパラメータは使用できません。
- 上り(内向き)方向の場合は
LIST_NAMES: 脅威インテリジェンス リストの名前のカンマ区切りのリスト- 上り(内向き)方向の場合は
--src-threat-intelligenceパラメータで送信元の脅威インテリジェンス リストを指定します。下り(外向き)方向の場合、--src-threat-intelligenceパラメータは使用できません。 - 下り(外向き)方向の場合、
--dest-threat-intelligenceパラメータで宛先の脅威インテリジェンス リストを指定します。上り(内向き)方向の場合、--dest-threat-intelligenceパラメータは使用できません。
- 上り(内向き)方向の場合は
ADDR_GRP_URL: アドレス グループの一意の URL 識別子- 上り(内向き)方向の場合は
--src-address-groupsパラメータで送信元のアドレス グループを指定します。下り(外向き)方向の場合、--src-address-groupsパラメータは使用できません。 - 下り(外向き)方向の場合は
--dest-address-groupsパラメータで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-address-groupsパラメータは使用できません。
- 上り(内向き)方向の場合は
DOMAIN_NAME: ドメイン名のカンマ区切りリスト。ドメイン名の形式で説明されている形式で指定します。- 上り(内向き)方向の場合は
--src-fqdnsパラメータで送信元のドメイン名を指定します。下り(外向き)方向の場合、--src-fqdnsパラメータは使用できません。 - 下り(外向き)方向の場合は
--dest-fqdnsパラメータで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-fqdnsパラメータは使用できません。
- 上り(内向き)方向の場合は
ACTION: 次のいずれかのアクション:allow: ルールに一致する接続を許可します。deny: ルールに一致する接続を拒否します。apply_security_profile_group: レイヤ 7 検査用に構成されたファイアウォール エンドポイントにパケットを透過的に送信します。goto_next: 接続評価を階層内の次のレベル(フォルダまたはネットワーク)に渡します。
VM の各ネットワーク インターフェースに対するルールと対応するアクションの評価方法については、ポリシーとルールの評価順序をご覧ください。
SECURITY_PROFILE_GROUP: レイヤ 7 検査に使用されるセキュリティ プロファイル グループの名前。このパラメータは、apply_security_profile_groupアクションが選択されている場合にのみ指定します。--tls-inspect: ルールでapply_security_profile_groupアクションが選択されている場合、TLS インスペクション ポリシーを使用して TLS トラフィックを検査します。TLS インスペクションはデフォルトで無効になっています。また、--no-tls-inspectを指定することもできます。PROTOCOL_PORT: プロトコル名または番号(tcp,17)、プロトコルと宛先ポート(tcp:80)、プロトコルと宛先ポートの範囲(tcp:5000-6000)のカンマ区切りリスト。プロトコルなしでは、ポートまたはポート範囲を指定することはできません。ICMP の場合、ポートまたはポート範囲を指定できません。例:
--layer4-configs tcp:80,tcp:443,udp:4000-5000,icmpIPv4 ICMP を指定するには、
icmpまたはプロトコル番号1を使用します。IPv6 ICMP を指定するには、プロトコル番号58を使用します。詳細については、プロトコルとポートをご覧ください。NETWORKS:https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME 形式の VPC ネットワーク リソース URL のカンマ区切りリスト。PROJECT_ID は VPC ネットワークを含むプロジェクトのプロジェクト ID、NETWORK_NAME はネットワーク名です。省略すると、ルールは対象のノードの下のすべての VPC ネットワークに適用されます。詳細については、階層型ファイアウォール ポリシー ルールのターゲットをご覧ください。
SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りのリスト。ルールは、指定したサービス アカウントに対するアクセス権で実行されている VM にのみ適用されます。詳細については、階層型ファイアウォール ポリシー ルールのターゲットをご覧ください。
--enable-logging、--no-enable-logging: 指定されたルールに対してファイアウォール ルールロギングを有効または無効にします。--disabled: ファイアウォール ルールが存在しても、接続の処理時に考慮されないファイアウォール ルールを示します。このフラグを省略すると、ルールが有効になります。または、--no-disabledを指定します。
ポリシーを組織またはフォルダに関連付ける
ポリシーをノードに関連付けると、階層内のノードの下にある VM のポリシールールをアクティブ化できます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
[関連付けを追加] をクリックします。
組織のルートを選択するか、組織内のフォルダを選択します。
[追加] をクリックします。
gcloud
gcloud compute firewall-policies associations create \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[ --folder FOLDER_ID ] \
[ --name ASSOCIATION_NAME ] \
[ --replace-association-on-target ]
次のように置き換えます。
POLICY_NAME: ポリシーの略称またはシステムによって生成された名前ORG_ID: 組織の IDFOLDER_ID: ポリシーをフォルダに関連付ける場合は、ここで指定します。ポリシーを組織レベルに関連付ける場合は省略します。ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前は「organizationORG_ID」または「folderFOLDER_ID」に設定されます。--replace-association-on-target
デフォルトでは、すでに関連付けがある組織ノードまたはフォルダノードに関連付けを挿入しようとすると、そのメソッドは失敗します。このフラグを指定すると、新しい関連付けが作成されると同時に既存の関連付けが削除されます。これにより、移行時にポリシーのないノードが設定されることがなくなります。
ノード間でポリシーを移動する
ポリシーを移動すると、ポリシーを所有するノードが変更されます。ポリシーを移動するには、古いノードと新しいノードの両方に move 権限が必要です。
ポリシーを移動しても、既存のポリシーの関連付けや既存のルールの評価には影響しませんが、移動後にポリシーを変更または関連付けを行う権限を持つ人に影響する可能性があります。
コンソール
この手順では Google Cloud CLI を使用します。
gcloud
gcloud compute firewall-policies move POLICY_NAME \
--organization ORG_ID \
[--folder FOLDER_ID]
次のように置き換えます。
POLICY_NAME: 移動するポリシーの略称またはシステムによって生成された名前ORG_ID: 組織の ID。ポリシーを組織ノードに移動する場合は、この ID を指定しますが、フォルダは指定しません。FOLDER_ID: ポリシーをフォルダに関連付ける場合は、ここで指定します。ポリシーを組織ノードに関連付ける場合は省略します。
ポリシーの説明を更新する
更新できるポリシー フィールドは [説明] フィールドのみです。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[編集] をクリックします。
[説明] を変更します。
[保存] をクリックします。
gcloud
gcloud compute firewall-policies update POLICY_NAME \
--description DESCRIPTION \
--organization ORG_ID
ポリシーを一覧表示する
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
[このノードに関連付けられた、またはこのノードによって継承されたファイアウォール ポリシー] セクションに、リソース階層内のこのノードに関連付けられているポリシーが表示されます。
[このノードにあるファイアウォール ポリシー] セクションには、リソース階層でこのノードによって所有されているポリシーが一覧表示されます。このようなポリシーは、このノードに関連付けられていない可能性がありますが、このノードや他のノードに関連付けることができます。
gcloud
gcloud compute firewall-policies list \
[--organization ORG_ID | --folder FOLDER_ID]
ポリシーの説明を取得する
すべてのファイアウォール ルールを含む、ポリシーのすべての詳細を表示できます。また、ポリシー内のすべてのルールにある属性も確認できます。この属性は、ポリシーごとの上限としてカウントされます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
gcloud
gcloud compute firewall-policies describe POLICY_NAME \
--organization ORG_ID
ポリシーを削除する
削除する前に、組織のファイアウォール ポリシーのすべての関連付けを削除する必要があります。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
削除するポリシーをクリックします。
[関連付け] タブをクリックします。
すべての関連付けを選択します。
[関連付けを削除] をクリックします。
すべての関連付けを削除したら、[削除] をクリックします。
gcloud
ファイアウォール ポリシーに関連するすべてのノードを一覧表示します。
gcloud compute firewall-policies describe POLICY_NAME \ --organization ORG_ID個々の関連付けを削除します。関連付けを削除するには、関連するノードまたはそのノードの祖先に対する
compute.orgSecurityResourceAdminのロールが必要です。gcloud compute firewall-policies associations delete NODE_NAME \ --organization ORG_ID \ --firewall-policy POLICY_NAMEポリシーを削除します。
gcloud compute firewall-policies delete POLICY_NAME \ --organization ORG_ID
ノードの関連付けを一覧表示する
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
関連付けられているポリシーと継承されているポリシーは、[このノードに関連付けられた、またはこのノードによって継承されたファイアウォール ポリシー] に表示されます。
gcloud
gcloud compute firewall-policies associations list \
[--organization ORG_ID | --folder FOLDER_ID]
ポリシーの関連付けを一覧表示する
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
ポリシーの関連付けが一覧で表示されます。
gcloud
gcloud compute firewall-policies describe POLICY_ID
関連付けを削除する
組織またはフォルダに対するファイアウォール ポリシーの適用を停止するには、関連付けを削除します。
ただし、あるセキュリティ ポリシーを別のファイアウォール ポリシーに入れ替える場合は、最初に既存の関連付けを削除する必要はありません。この操作を行うと、どちらのポリシーも適用されない期間が残ります。代わりに、新しいポリシーを関連付ける際は、既存のポリシーを置き換えます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
[関連付け] タブをクリックします。
削除する関連付けを選択します。
[関連付けを削除] をクリックします。
gcloud
gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID
ファイアウォール ポリシー ルールのタスク
既存のファイアウォール ポリシーにルールを作成する
ファイアウォール ルールを作成するをご覧ください。
ポリシー内のすべてのルールを一覧表示する
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。ルールが [ファイアウォール ルール] タブに表示されます。
gcloud
gcloud compute firewall-policies list-rules POLICY_NAME \
--organization ORG_ID
ルールの説明を取得する
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
gcloud
gcloud compute firewall-policies rules describe PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
次のように置き換えます。
PRIORITY: 表示するルールの優先度。各ルールの優先度は異なるため、この設定はルールによって一意に識別されますORG_ID: 組織の IDPOLICY_NAME: ルールが含まれるポリシーの略称またはシステム生成名
ルールを更新する
フィールドの説明については、ファイアウォール ルールの作成をご覧ください。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
ルールの優先度をクリックします。
[編集] をクリックします。
変更対象のフィールドに修正を加えます。
[保存] をクリックします。
gcloud
gcloud compute firewall-policies rules update RULE_NAME \
--firewall-policy POLICY_NAME \
--organization ORG_ID \
[...fields you want to modify...]
ポリシー間でルールのクローンを作成する
ターゲット ポリシーからすべてのルールを削除し、ソースポリシーのルールで置き換えます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ルールのコピー元ポリシーをクリックします。
画面の上部の [クローン] をクリックします。
ターゲット ポリシーの名前を指定します。
新しいポリシーをすぐに関連付けるには、[続行] > [ポリシーとリソースの関連付け] をクリックします。
[クローン] をクリックします。
gcloud
gcloud compute firewall-policies clone-rules POLICY_NAME \
--organization ORG_ID \
--source-firewall-policy SOURCE_POLICY
次のように置き換えます。
POLICY_NAME: コピーされたルールを受け取るポリシーORG_ID: 組織の IDSOURCE_POLICY: ルールのコピー元のポリシー。リソースの URL で指定する必要があります。
ポリシーからルールを削除する
ポリシーからルールを削除すると、そのルールを継承しているすべての VM からルールが削除されます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。
ポリシーをクリックします。
削除するルールを選択します。
[削除] をクリックします。
gcloud
gcloud compute firewall-policies rules delete PRIORITY \
--organization ORG_ID \
--firewall-policy POLICY_NAME
次のように置き換えます。
PRIORITY: ポリシーから削除するルールの優先度ORG_ID: 組織の IDPOLICY_NAME: そのルールを含むポリシー
ネットワークで有効なファイアウォール ルールを取得する
指定した VPC ネットワークに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示します。
コンソール
Google Cloud コンソールの [VPC ネットワーク] ページに移動します。
ファイアウォール ポリシー ルールを表示するネットワークをクリックします。
[ファイアウォール ポリシー] をクリックします。
ファイアウォール ポリシーを開いて、このネットワークに適用されるルールを表示します。
gcloud
gcloud compute networks get-effective-firewalls NETWORK_NAME
次のように置き換えます。
NETWORK_NAME: 有効なルールを取得する対象のネットワーク
また、ネットワークの有効なファイアウォール ルールは [ファイアウォール] ページでも確認できます。
コンソール
Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。
ファイアウォール ポリシーは、[このプロジェクトによって継承されるファイアウォール ポリシー] セクションに表示されます。
ファイアウォール ポリシーをクリックして、このネットワークに適用されるルールを表示します。
VM インターフェースで有効なファイアウォール ルールを取得する
指定した Compute Engine VM インターフェースに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示します。
コンソール
Google Cloud コンソールで [VM インスタンス] ページに移動します。
プロジェクト セレクタのプルダウン メニューで、VM を含むプロジェクトを選択します。
VM をクリックします。
[ネットワーク インターフェース] で、インターフェースをクリックします。
[ファイアウォールとルートの詳細] に有効なファイアウォール ルールが表示されます。
gcloud
gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
[--network-interface INTERFACE] \
[--zone ZONE]
次のように置き換えます。
INSTANCE_NAME: 有効なルールを取得する対象の VM。インターフェースが指定されていない場合、プライマリ インターフェース(nic0)のルールが返されます。INTERFACE: 有効なルールを取得する対象の VM インターフェース。デフォルトはnic0です。ZONE: VM のゾーン。対象のゾーンがすでにデフォルトとして選択されている場合は省略可能です。
トラブルシューティング
このセクションでは、表示される可能性があるエラー メッセージについて説明します。
FirewallPolicy may not specify a name. One will be provided.ポリシー名を指定できません。階層型ファイアウォール ポリシーの名前は、ポリシーの作成時に Google Cloud によって生成される数値 ID です。ただし、わかりやすい略称を指定することもできます。これは、多くのコンテキストでエイリアスとして機能します。
FirewallPolicy may not specify associations on creation.関連付けは、階層のファイアウォール ポリシーの作成後にのみ作成できます。
Can not move firewall policy to a different organization.階層型ファイアウォール ポリシーの移動は、同じ組織内で行われる必要があります。
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.ノードがすでに階層型ファイアウォール ポリシーに接続されている場合、既存の関連付けを置き換えるオプションが true に設定されていない限り、接続のオペレーションは失敗します。
Cannot have rules with the same priorities.ルールの優先度は、階層型ファイアウォール ポリシー内で一意にする必要があります。
Direction must be specified on firewall policy rule.REST リクエストを直接送信して階層型ファイアウォール ポリシー ルールを作成する場合は、ルールの方向を指定する必要があります。Google Cloud CLI を使用していて、方向を指定しない場合、デフォルトは
INGRESSです。Can not specify enable_logging on a goto_next rule.goto_next アクションのルールでは、ファイアウォールのロギングは許可されません。goto_next アクションがファイアウォール ポリシーの評価順序を表すために使用され、「許可」や「拒否」などのターミナル アクションではないためです。
Must specify at least one destination on Firewall policy rule.ファイアウォール ポリシールールの
layer4Configsパラメータには、プロトコル、またはプロトコルと宛先ポートの組を 1 つ以上指定する必要があります。ファイアウォール ポリシー ルールのトラブルシューティングの詳細については、VPC ファイアウォール ルールのトラブルシューティングをご覧ください。