初期設定のステップ

このドキュメントでは、Secure Web Proxy の使用に必要な初期設定手順について説明します。

Secure Web Proxy を使用する前に、次の手順を行います。

必要な Identity and Access Management ロールを取得します。
Google Cloud プロジェクトを作成または選択します。
課金と関連する Google Cloud API を有効にします。
プロキシサブネットを作成します。
SSL 証明書を Certificate Manager にアップロードします。

この設定は、Secure Web Proxy を初めて使用する場合にのみ必要です。

IAM ロールを取得する

権限の取得手順は次のとおりです。

Secure Web Proxy インスタンスをプロビジョニングするために必要な権限を取得するには、プロジェクトに対する次の IAM ロールの付与を管理者に依頼してください。
- ポリシーを構成して　Secure Web Proxy インスタンスをプロビジョニングするには: ネットワーク管理者のロールを計算する（roles/compute.networkAdmin）
- Secure Web Proxy の TLS 証明書を明示的にアップロードするには: Certificate Manager 編集者のロール（roles/certificatemanager.editor）
ロールの付与の詳細については、アクセスの管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
省略可: 継続的なポリシー管理を担当する一連のユーザーがいる場合は、セキュリティポリシー管理者のロール（roles/compute.orgSecurityPolicyAdmin）を付与して、ユーザーがセキュリティポリシーを管理できるようにします。

Google Cloud プロジェクトを作成する

Google Cloud プロジェクトを作成または選択する手順は次のとおりです。

コンソール

Google Cloud コンソールの [プロジェクトセレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

プロジェクトセレクタに移動

Cloud Shell

Google Cloud プロジェクトを作成する
```
  gcloud projects create PROJECT_ID
```
PROJECT_ID は、目的のプロジェクト ID に置き換えます。
作成した Google Cloud プロジェクトを選択します。
```
  gcloud config set project PROJECT_ID
```

課金と API を有効にする

課金と関連する Google Cloud API を有効にする手順は次のとおりです。

Google Cloud プロジェクトの課金が有効になっていることを確認します。詳しくは、プロジェクトの課金ステータスを確認するをご覧ください。
Compute Engine API を有効にします。

API の有効化

プロキシサブネットを作成する

Secure Web Proxy をデプロイするリージョンごとにプロキシサブネットを作成します。サブネットサイズを /26 以上、またはプロキシ専用アドレスを 64 個作成します。Secure Web Proxy 接続は、Secure Web Proxy 用に予約された IP アドレスのプールによって提供されるため、サブネットサイズは /23 または 512 プロキシ専用アドレスにすることをおすすめします。プールを使用して、各プロキシの外向きトラフィックに一意の IP アドレスを割り振り、Cloud NAT や VPC ネットワーク内の宛先とやり取りします。

gcloud

 gcloud compute networks subnets create PROXY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=IP_RANGE

以下を置き換えます。

PROXY_SUBNET_NAME: プロキシサブネットに付ける名前。
REGION: プロキシサブネットをデプロイするリージョン
NETWORK_NAME: ネットワーク名
IP_RANGE: サブネット範囲（192.168.0.0/23 など）

SSL 証明書のデプロイ

Certificate Manager を使用して証明書をデプロイするには、次のいずれかの方法を使用します。

プロジェクトごとの DNS 認証を使用して、リージョン Google マネージド証明書をデプロイする。詳細については、リージョン Google マネージド証明書をデプロイするをご覧ください。
Certificate Authority Service を使用してリージョン Google マネージド証明書をデプロイする。詳細については、CA Service を使用してリージョン Google マネージド証明書をデプロイするをご覧ください。
リージョンセルフマネージド証明書をデプロイする。
次の例は、Certificate Manager を使用してリージョンセルフマネージド証明書をデプロイする方法を示しています。

SSL 証明書を作成するには:
```
openssl req -x509 -newkey rsa:2048 \
  -keyout KEY_PATH \
  -out CERTIFICATE_PATH -days 365 \
  -subj '/CN=SWP_HOST_NAME' -nodes -addext \
  "subjectAltName=DNS:SWP_HOST_NAME"
```
以下を置き換えます。
- KEY_PATH: 鍵を保存するパス（~/key.pem など）
- CERTIFICATE_PATH: 証明書を保存するパス（~/cert.pem など）
- SWP_HOST_NAME: Secure Web Proxy インスタンスのホスト名（myswp.example.com など）
SSL 証明書を Certificate Manager にアップロードします。
```
gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file=CERTIFICATE_PATH \
   --private-key-file=KEY_PATH \
   --location=REGION
```
以下を置き換えます。
- CERTIFICATE_NAME: 証明書の名前。
- CERTIFICATE_PATH: 証明書ファイルのパス
- KEY_PATH: 鍵ファイルのパス
SSL 証明書の詳細については、SSL 証明書の概要をご覧ください。