初期設定のステップ

このドキュメントでは、Secure Web Proxy を使用する際に必要な初期設定手順について説明します。

Secure Web Proxy を使用する前に、次の手順を行います。

必要な Identity and Access Management ロールを取得します。
Google Cloud プロジェクトを作成または選択します。
課金と関連する Google Cloud APIs を有効にします。
プロキシサブネットを作成します。
SSL 証明書を Certificate Manager にアップロードします。

この設定は、Secure Web Proxy を初めて使用する場合にのみ必要です。

IAM ロールを取得する

権限を取得する手順は次のとおりです。

Secure Web Proxy インスタンスをプロビジョニングするために必要な権限を取得するには、プロジェクトに対する次の IAM ロールの付与を管理者に依頼してください。
- ポリシーを構成して　Secure Web Proxy インスタンスをプロビジョニングするには: Compute ネットワーク管理者ロール（roles/compute.networkAdmin）
- Secure Web Proxy の TLS 証明書を明示的にアップロードするには: Certificate Manager 編集者のロール（roles/certificatemanager.editor）
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
省略可: ポリシー管理を継続的に担当する複数のユーザーがいる場合は、セキュリティポリシー管理者ロール（roles/compute.orgSecurityPolicyAdmin）を付与して、セキュリティポリシーを管理できるようにします。

Google Cloud プロジェクトを作成する

Google Cloud プロジェクトを作成または選択する手順は、次のとおりです。

コンソール

Google Cloud コンソールの [プロジェクトセレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

プロジェクトセレクタに移動

Cloud Shell

Google Cloud プロジェクトを作成する
```
  gcloud projects create PROJECT_ID
```
PROJECT_ID は、目的のプロジェクト ID に置き換えます。
作成した Google Cloud プロジェクトを選択します。
```
  gcloud config set project PROJECT_ID
```

課金と API を有効にする

課金と関連する Google Cloud APIs を有効にするには、次の操作を行います。

Google Cloud プロジェクトの課金が有効になっていることを確認します。詳しくは、プロジェクトの課金ステータスを確認するをご覧ください。
Compute Engine API を有効にします。

API の有効化
Certificate Manager API を有効にします

API の有効化
Network Services API を有効にします。

API の有効化
Network Security API を有効にします。

API の有効化

プロキシサブネットを作成する

Secure Web Proxy をデプロイするリージョンごとにプロキシサブネットを作成します。サブネットのサイズは /26 以上、または 64 個のプロキシ専用アドレスにする必要があります。Secure Web Proxy 接続は、Secure Web Proxy 用に予約された IP アドレスのプールによって提供されるため、サブネットサイズは /23 または 512 プロキシ専用アドレスにすることをおすすめします。プールを使用して、各プロキシの外向きトラフィックに一意の IP アドレスを割り振り、Cloud NAT や VPC ネットワーク内の宛先とやり取りします。

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

以下を置き換えます。

PROXY_SUBNET_NAME: プロキシサブネットに付ける名前
REGION: プロキシサブネットをデプロイするリージョン
NETWORK_NAME: ネットワーク名
IP_RANGE: サブネット範囲（例: 192.168.0.0/23）

SSL 証明書をデプロイする

Certificate Manager を使用して証明書をデプロイするには、次のいずれかの方法を使用します。

プロジェクトごとの DNS 認証を使用して、リージョン Google マネージド証明書をデプロイする。詳細については、リージョン Google マネージド証明書をデプロイするをご覧ください。
Certificate Authority Service を使用してリージョン Google マネージド証明書をデプロイします。詳細については、CA Service を使用してリージョン Google マネージド証明書をデプロイするをご覧ください。
リージョンセルフマネージド証明書をデプロイする。
次の例は、Certificate Manager を使用してリージョンセルフマネージド証明書をデプロイする方法を示しています。

SSL 証明書を作成するには:
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
以下を置き換えます。
- KEY_PATH: 鍵を保存するパス（~/key.pem など）
- CERTIFICATE_PATH: 証明書を保存するパス（~/cert.pem など）
- SWP_HOST_NAME: Secure Web Proxy インスタンスのホスト名（myswp.example.com など）
SSL 証明書を Certificate Manager にアップロードします。
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
以下を置き換えます。
- CERTIFICATE_NAME: 証明書の名前。
- CERTIFICATE_PATH: 証明書ファイルのパス
- KEY_PATH: 鍵ファイルのパス
SSL 証明書の詳細については、SSL 証明書の概要をご覧ください。