ファイアウォール ポリシーのアドレス グループ
アドレス グループを使用して、複数の IP アドレスと IP 範囲を単一の名前付き論理単位に結合します。この単位は、同じまたは異なるファイアウォール ポリシーの複数のルールで使用できます。
アドレス グループを使用することで、複数のファイアウォール ルール全体で使用される IP アドレスセットを手動で維持し、同期する必要がなくなります。必要なすべての IP アドレスまたは IP 範囲を使用して、共通のアドレス グループを作成できます。このアドレス グループは、送信元と宛先のフィルタリングのために複数のファイアウォール ルールで再利用できます。IP アドレスセットに変更があった場合は、関連するすべてのルールを更新しなくても、アドレス グループを更新できます。
アドレス グループにより、ファイアウォール ポリシーの構成とメンテナンスが簡単になります。ファイアウォール ポリシー間で IP アドレスを共有することで、メンテナンスの手間を減らしながら、より複雑で一貫性があり、堅牢なファイアウォール ポリシーをネットワークに定義できます。
仕様
アドレス グループ リソースには次の特徴があります。
- 各アドレス グループは、次の要素を含む URL で一意に識別されます。
- コンテナのタイプ: アドレス グループのタイプ(
organization
またはproject
)。 - コンテナ ID: 組織またはプロジェクトの ID。
- ロケーション: アドレス グループが
global
かリージョン リソース(europe-west
など)かを表します。 - 名前: 次の形式のアドレス グループ名。
- 1~63 文字の文字列
- 英数字のみを使用
- 先頭は数字以外
- コンテナのタイプ: アドレス グループのタイプ(
アドレス グループの一意の URL 識別子は、次の形式で構成できます。
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
たとえば、プロジェクト
myproject
内のglobal
アドレス グループexample-address-group
には、次のような固有の 4 タプル識別子があります。projects/myproject/locations/global/addressGroups/example-address-group
各アドレス グループには、IPv4 と IPv6 のいずれかに関連するタイプがあります(両方ではありません)。アドレス グループ タイプを後で変更することはできません。
アドレス グループ内の各 IP アドレスまたは IP 範囲は「項目」と呼ばれます。アドレス グループに追加できる項目数は、アドレス グループの容量によって異なります。アドレス グループの作成時に項目の容量を定義できます。この容量を後で変更することはできません。アドレス グループに構成できる最大容量は 1,000 です。
アドレス グループの容量は、アドレス グループが使用されているファイアウォール ポリシーの属性の合計数に追加されます。容量は、ユースケースに基づいて適切な値に設定してください。
アドレス グループを作成するときに、容量とタイプを指定する必要があります。
ファイアウォール ポリシー ルールに追加されたアドレス グループが存在しない場合、アドレス グループ フィルタはルールから削除されます。送信元または宛先アドレス グループをファイアウォール ポリシー ルールに追加する方法については、送信元と宛先をご覧ください。
アドレス グループのタイプ
アドレス グループはスコープに基づいて分類されます。スコープにより、リソース階層でアドレス グループが適用されるレベルが決まります。アドレス グループは次のタイプに分類されます。
アドレス グループは、プロジェクト スコープと組織スコープのいずれかにできますが、両方に設定することはできません。
組織スコープのアドレス グループは、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、リージョン ネットワーク ファイアウォール ポリシーで使用できます。プロジェクト スコープのアドレス グループは、グローバル ネットワーク ファイアウォール ポリシーとリージョン ネットワーク ファイアウォール ポリシーでのみ使用できます。
どちらのタイプでも、アドレス グループのロケーションはファイアウォール ポリシーのロケーションと一致する必要があります。
プロジェクト スコープのアドレス グループ
プロジェクトまたはネットワーク内で使用する独自の IP アドレスのリストを定義して、変更された IP アドレスリストをブロックまたは許可する場合は、プロジェクト スコープのアドレス グループを使用します。たとえば、独自の脅威インテリジェンス リストを定義してファイアウォール ポリシー ルールに追加する場合、必要な IP アドレスを含むアドレス グループを作成します。
プロジェクト スコープのアドレス グループは、ネットワーク ファイアウォール ポリシーのファイアウォール ルールで使用できます。プロジェクト スコープのアドレス グループのコンテナタイプは、常に project
に設定されます。プロジェクト スコープのアドレス グループの作成、変更の詳細については、プロジェクト スコープのアドレス グループの使用をご覧ください。
組織スコープのアドレス グループ
組織全体に一貫した制御を提供し、個々のネットワークおよびプロジェクト オーナーが信頼できるサービスや内部 IP アドレスなどの共通のリストを維持する際に必要となるオーバーヘッドを削減するには、上位レベルのファイアウォール ルールで使用できる IP アドレスの主要なリストを定義して、組織スコープのアドレス グループを使用します。
組織スコープのアドレス グループは、階層型ファイアウォール ポリシーとネットワーク ファイアウォール ポリシーのファイアウォール ルールで使用できます。組織スコープのアドレス グループのコンテナタイプは、常に organization
に設定されます。組織スコープのアドレス グループを作成、変更する方法については、組織スコープのアドレス グループを使用するをご覧ください。
IAM ロール
アドレス グループを作成して管理するには、ネットワーク管理者ロール(compute.networkAdmin
)またはセキュリティ管理者ロール(compute.securityAdmin
)が必要です。また、同等の権限セットでカスタムロールを定義することもできます。
次の表に、アドレス グループで一連のタスクを実行するために必要な Identity and Access Management(IAM)権限の一覧を示します。
タスク | IAM ロール名 | IAM 権限 |
---|---|---|
アドレス グループの作成と管理 | compute.networkAdmin
|
networksecurity.addressGroups.* |
アドレス グループの検出と表示 | compute.networkUser |
networksecurity.addressGroups.list
|
特定の IAM 権限を含むロールの詳細については、IAM 権限のリファレンスをご覧ください。