グローバル ネットワーク ファイアウォール ポリシー
グローバル ネットワーク ファイアウォール ポリシーを使用すると、すべてのファイアウォール ルールを 1 つのポリシー オブジェクトにまとめて更新できます。Virtual Private Cloud(VPC)ネットワークにネットワーク ファイアウォール ポリシーを割り当てることができます。これらのポリシーには、接続を明示的に拒否または許可するルールが含まれています。
仕様
- グローバル ネットワーク ファイアウォール ポリシーは、ファイアウォール ルールのコンテナ リソースです。各グローバル ネットワーク ファイアウォール ポリシー リソースは、プロジェクト内で定義されます。
- グローバル ネットワーク ファイアウォール ポリシーを作成した後、ポリシーでファイアウォール ルールを追加、更新、削除できます。
- グローバル ネットワーク ファイアウォール ポリシーのルールの仕様については、ファイアウォール ポリシールールをご覧ください。
- グローバル ネットワーク ファイアウォール ポリシー ルールを VPC ネットワークに適用するには、ファイアウォール ポリシーをその VPC ネットワークに関連付ける必要があります。
- グローバル ネットワーク ファイアウォール ポリシーは、複数の VPC ネットワークに関連付けることができます。ファイアウォール ポリシーと関連するネットワークが同じプロジェクトに属していることを確認します。
- 各 VPC ネットワークは、1 つのグローバル ネットワーク ファイアウォール ポリシーにのみ関連付けることができます。
- ファイアウォール ポリシーがどの VPC ネットワークにも関連付けられていない場合、そのポリシーのルールは無効になります。どのネットワークにも関連付けられていないファイアウォール ポリシーは、関連付けのないグローバル ネットワーク ファイアウォール ポリシーです。
- グローバル ネットワーク ファイアウォール ポリシーが 1 つ以上の VPC ネットワークに関連付けられている場合、ファイアウォール ポリシールールは次の方法で適用されます。
- 既存のルールは、関連する VPC ネットワーク内の該当するリソースに適用されます。
- ルールに加えた変更は、関連する VPC ネットワーク内の該当するリソースに適用されます。
- ポリシーとルールの評価の順序で説明されているように、グローバル ネットワーク ファイアウォール ポリシー ルールは、他のファイアウォール ルールと一緒に適用されます。
グローバル ネットワーク ファイアウォール ポリシー ルールの詳細
グローバル ネットワーク ファイアウォール ポリシー ルールのコンポーネントとパラメータの詳細については、ファイアウォール ポリシー ルールをご覧ください。
次の表に、グローバル ネットワーク ファイアウォール ポリシー ルールと VPC ファイアウォール ルールの主な違いを示します。
| グローバル ネットワーク ファイアウォール ポリシールール | VPC ファイアウォール ルール | |
|---|---|---|
| 優先度 | ポリシー内で一意である必要があります | 優先度の重複は可能です |
| ターゲットとしてのサービス アカウント | ○ | ○ |
| ソースとしてのサービス アカウント (上り(内向き)ルールのみ) |
× | ○ |
| タグタイプ | セキュアタグ | ネットワーク タグ |
| 名前と説明 | ポリシー名、ポリシー、ルールの説明 | ルール名と説明 |
| バッチ アップデート | ○(ポリシーのクローン作成、編集、置換機能) | × |
| 再利用 | ○ | × |
| 割り当て | 属性数 - ポリシー内のルールの全体的な複雑さに基づく | ルール数 - 複雑なファイアウォール ルールと単純なファイアウォール ルールで、割り当てへの影響は変わりません |
事前定義ルール
すべてのグローバル ネットワーク ファイアウォール ポリシーには、優先度が最も低い 4 つの goto_next ルールが事前に定義されています。これらのルールは、ポリシーで明示的に定義されたルールと一致しない接続に適用されます。これにより、このような接続は下位レベルのポリシーまたはネットワーク ルールで処理されます。
これらの事前定義ルールは、リージョン ネットワーク ファイアウォール ポリシーと階層型ファイアウォール ポリシーにもあります。詳細については、階層型ファイアウォール ポリシーのドキュメントで事前定義ルールをご覧ください。
Identity and Access Management(IAM)のロール
IAM ロールは、グローバル ネットワーク ファイアウォール ポリシーに関して次のアクションを管理します。
- グローバル ネットワーク ファイアウォール ポリシーの作成
- ポリシーとネットワークの関連付け
- 既存のポリシーの変更
- 特定のネットワークまたは VM で有効なファイアウォール ルールの表示
次の表に、各ステップに必要となるロールを示します。
| アクション | 必要なロール |
|---|---|
| 新しいグローバル ネットワーク ファイアウォール ポリシーを作成する | ポリシーが属するプロジェクトに対する compute.securityAdmin ロール |
| ポリシーをネットワークに関連付ける | ポリシーが存在するプロジェクトに対する compute.networkAdmin ロール |
| ポリシー ファイアウォール ルールを追加、更新、削除してポリシーを変更する | ポリシーが存在するプロジェクトに対する compute.securityAdmin ロール |
| ポリシーを削除する | ポリシーが存在するプロジェクトに対する compute.networkAdmin ロール |
| VPC ネットワーク上で効力のあるファイアウォール ルールの表示 | ネットワークに対して次のいずれかのロール: compute.networkAdmin compute.networkViewer compute.securityAdmin compute.securityReadOnly compute.viewer |
| ネットワーク内の VM に対する有効なファイアウォール ルールの表示 | VM に関する以下のロール: compute.instanceAdmin compute.securityAdmin compute.securityReadOnly compute.viewer |
次のロールは、グローバル ネットワーク ファイアウォール ポリシーに関連しています。
| ロール名 | 説明 |
|---|---|
| compute.securityAdmin | (プロジェクト レベルまたはリソースレベルで付与可能)プロジェクトに付与した場合、ユーザーはグローバル ネットワーク ファイアウォール ポリシーやルールを作成、更新、削除できます。ポリシーレベルでは、ユーザーはポリシールールを更新できますが、ポリシーの作成または削除はできません。このロールが付与されたユーザーは、ポリシーをネットワークに関連付けることもできます。 |
| compute.networkAdmin | プロジェクト レベルまたはネットワーク レベルで付与。ネットワークに対して付与されている場合、ユーザーはグローバル ネットワーク ファイアウォール ポリシーのリストを表示できます。 |
|
compute.viewer compute.networkUser compute.networkViewer |
ユーザーがネットワークまたはインスタンスに適用されているファイアウォール ルールを表示できるようにします。 ネットワークの compute.networks.getEffectiveFirewalls 権限とインスタンスの compute.instances.getEffectiveFirewalls 権限が含まれます。 |