階層型ファイアウォール ポリシーとルールを使用する

このページは、階層型ファイアウォール ポリシーで説明されているコンセプトを理解していることを前提としています。階層型ファイアウォール ポリシーの実装例については、階層型ファイアウォール ポリシーの例をご覧ください。

制限事項

  • 階層型ファイアウォール ポリシーのルールでは、ソースタグやソース サービス アカウントはサポートされていません。
  • 階層型ファイアウォール ポリシーのルールでは、ターゲットの定義にネットワーク タグを使用することはサポートされていません。代わりに、ターゲット VPC ネットワークまたはターゲット サービス アカウントを使用する必要があります。
  • ファイアウォール ポリシーは、フォルダレベルと組織レベルで適用されますが、VPC ネットワーク レベルでは適用されません。通常の VPC ファイアウォール ルールは VPC ネットワークでサポートされています。
  • リソース(フォルダまたは組織)に関連付けることができるファイアウォール ポリシーは 1 つだけですが、フォルダの下の仮想マシン(VM)インスタンスは VM を越えてリソースの階層全体からルールを継承できます。
  • ファイアウォール ルールのロギングは、allow ルールと deny ルールではサポートされますが、goto_next ルールではサポートされません。
  • IPv6 ホップバイホップ プロトコルはファイアウォール ルールでサポートされていません。

ファイアウォール ポリシーのタスク

ファイアウォール ポリシーの作成

ポリシーは、組織階層の任意のリソース(組織またはフォルダ)に作成できます。ポリシーを作成したら、組織内の任意のリソースに関連付けることができます。関連付けが終わると、階層内の関連するリソースにある VM に対してポリシーのルールがアクティブになります。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID または組織内のフォルダを選択します。

  3. [ファイアウォール ポリシーを作成] をクリックします。

  4. ポリシーに名前を付けます。

  5. ポリシーのルールを作成する場合は、[続行] > [ルールを追加] をクリックします。

    詳しくは、ファイアウォール ルールを作成するをご覧ください。

  6. ポリシーをリソースに関連付けるには、[続行] > [ポリシーとリソースの関連付け] をクリックします。

    詳細については、ポリシーを組織またはフォルダに関連付けるをご覧ください。

  7. [作成] をクリックします。

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

次のように置き換えます。

  • ORG_ID: 組織の ID
    組織レベルでポリシーを作成する場合、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーが組織のリソースに自動的に関連付けられることはありません。
  • FOLDER_ID: フォルダの ID
    特定のフォルダにポリシーを作成する場合は、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーがそのフォルダに自動的に関連付けられることはありません。
  • SHORT_NAME: ポリシーの名前
    Google Cloud CLI で作成したポリシーには 2 つの名前があります。1 つはシステム生成名、もう 1 つはユーザーが指定した略称です。Google Cloud CLI を使用して既存のポリシーを更新する場合は、システム生成の名前を使用するか、略称と組織 ID を指定します。API を使用してポリシーを更新する場合は、システムが生成した名前を指定する必要があります。

ファイアウォール ルールを作成する

階層型ファイアウォール ポリシーのルールは、階層型ファイアウォール ポリシーに作成される必要があります。含まれるポリシーをリソースに関連付けるまで、ルールは有効になりません。

各階層型ファイアウォール ポリシールールには、IPv4 または IPv6 の範囲のいずれかを含めることができます。両方を含めることはできません。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーの名前をクリックします。

  4. [ルールを追加] をクリックします。

  5. ルール フィールドに、次の内容を入力します。

    1. 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は 0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100200300 など)。
    2. ログの収集を [オン] または [オフ] に設定します。
    3. [トラフィックの方向] で、このルールが上り(内向き)ルールか下り(外向き)ルールかを指定します。
    4. [一致したときのアクション] で、次のいずれかのオプションを選択します。

      1. 許可: ルールに一致する接続を許可します。
      2. 拒否: ルールに一致する接続を拒否します。
      3. 次に移動: 接続の評価が、階層内で 1 つ下のファイアウォール ルールに渡されます。
      4. L7 検査に進む: レイヤ 7 検査用に構成されたファイアウォール エンドポイントにパケットを送信します。
        • [セキュリティ プロファイル グループ] リストで、セキュリティ プロファイル グループの名前を選択します。
        • パケットの TLS 検査を有効にするには、[TLS インスペクションを有効にする] を選択します。

      VM の各ネットワーク インターフェースに対するルールと対応するアクションの評価方法については、ポリシーとルールの評価順序をご覧ください。

    5. (省略可)[ターゲット ネットワーク] フィールドにネットワークを指定し、特定のネットワークにルールを限定できます。[ネットワークを追加] をクリックし、[プロジェクト] と [ネットワーク] を選択します。1 つのルールに複数のターゲット ネットワークを追加できます。

    6. (省略可)[ターゲット サービス アカウント] フィールドにアカウントを指定することで、特定のサービス アカウントに対するアクセス権で実行されている VM にルールを制限できます。

    7. 上り(内向き)ルールの場合、[送信元] フィルタを指定します。

      • 送信元 IPv4 の範囲で受信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、0.0.0.0/0 を使用します。
      • 送信元 IPv6 の範囲で受信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、::/0 を使用します。
    8. 下り(外向き)ルールの場合、[送信先フィルタ] を指定します。

      • 送信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、0.0.0.0/0 を使用します。
      • 送信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信先の場合は、::/0 を使用します。
    9. (省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の FQDN を指定します。下り(外向き)ルールを作成する場合は、このルールを適用する宛先の FQDN を選択します。ドメイン名オブジェクトの詳細については、ドメイン名オブジェクトをご覧ください。

    10. (省略可)上り(内向き)ルールを作成する場合は、このルールが適用される送信元の位置情報を選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の位置情報を選択します。位置情報オブジェクトの詳細については、位置情報オブジェクトをご覧ください。

    11. 省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元アドレス グループを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先アドレス グループを選択します。アドレス グループの詳細については、ファイアウォール ポリシーのアドレス グループをご覧ください。

    12. 省略可: 上り(内向き)ルールを作成する場合は、このルールが適用される送信元の Google Cloud 脅威インテリジェンスのリストを選択します。下り(外向き)ルールを作成する場合は、このルールが適用される宛先の Google Cloud 脅威インテリジェンスのリストを選択します。Google 脅威インテリジェンスの詳細については、ファイアウォール ポリシールールの Google 脅威インテリジェンスをご覧ください。

    13. 省略可: 上り(内向き)ルールの場合、送信先フィルタを指定します。

      • 受信トラフィックを送信先 IPv4 範囲でフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信先の場合は、0.0.0.0/0 を使用します。
      • 受信トラフィックを送信先 IPv6 範囲でフィルタするには、[IPv6 範囲] を選択し、[送信先 IPv6 範囲] フィールドに CIDR ブロックを入力します。任意の IPv6 送信先の場合は、::/0 を使用します。詳細については、上り(内向き)ルールの送信先をご覧ください。
    14. 省略可: 下り(外向き)ルールの場合は、[送信元] フィルタを指定します。

      • 送信元 IPv4 の範囲で送信トラフィックをフィルタするには、[IPv4] を選択し、[IP 範囲] フィールドに CIDR ブロックを入力します。任意の IPv4 送信元の場合は、0.0.0.0/0 を使用します。
      • 送信元 IPv6 の範囲で送信トラフィックをフィルタするには、[IPv6] を選択し、CIDR ブロックを [IP 範囲] フィールドに入力します。任意の IPv6 送信元の場合は、::/0 を使用します。詳細については、下り(外向き)ルールの送信元をご覧ください。
    15. [プロトコルとポート] で、すべてのプロトコルとポートにルールを適用することを指定するか、適用するプロトコルと宛先ポートを指定します。

      IPv4 ICMP を指定するには、icmp またはプロトコル番号 1 を使用します。IPv6 ICMP を指定するには、プロトコル番号 58 を使用します。プロトコルの詳細については、プロトコルとポートをご覧ください。

    16. [作成] をクリックします。

  6. [ルールを追加] をクリックして別のルールを追加します。

  7. [続行] > [ポリシーとリソースの関連付け] をクリックして、ポリシーをリソースに関連付けるか、[作成] をクリックしてポリシーを作成します。

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-network-scope SRC_NETWORK_SCOPE] \
    [--src-networks SRC_VPC_NETWORK,[SRC_VPC_NETWORK,...]] \
    [--dest-network-scope DEST_NETWORK_SCOPE] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

次のように置き換えます。

  • PRIORITY: ルールの数値評価順序

    ルールは、最も高い優先度から順番に評価されます(最も高い優先度は 0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100200300 など)。

  • ORG_ID: 組織の ID

  • POLICY_NAME: ポリシーの略称またはシステムによって生成された名前

  • DIRECTION: ルールが INGRESS(デフォルト)ルールまたは EGRESS ルールのどちらであるかを示します。

    • トラフィックの送信元の IP 範囲を指定するには、--src-ip-ranges を含めます。
    • トラフィックの宛先の IP 範囲を指定するには、--dest-ip-ranges を含めます。

    詳細については、ターゲット送信元宛先をご覧ください。

  • SRC_NETWORK_SCOPE: 上り(内向き)ルールが適用される送信元ネットワーク トラフィックのスコープを示します。この引数は、次のいずれかの値に設定できます。

    • INTERNET
    • NON_INTERNET
    • VPC_NETWORKS
    • INTRA_VPC

    この引数の値を消去するには、空の文字列を使用します。空の値は、すべてのネットワーク スコープを示します。詳細については、ネットワーク スコープの種類についてをご覧ください。

  • SRC_VPC_NETWORK: VPC ネットワークのカンマ区切りのリスト

    --src-networks は、--src-network-scopeVPC_NETWORKS に設定されている場合にのみ使用できます。

  • DEST_NETWORK_SCOPE: 下り(外向き)ルールが適用される宛先ネットワーク トラフィックのスコープを示します。この引数は、次のいずれかの値に設定できます。

    • INTERNET
    • NON_INTERNET

    この引数の値を消去するには、空の文字列を使用します。空の値は、すべてのネットワーク スコープを示します。

    詳細については、ネットワーク スコープの種類についてをご覧ください。

  • IP_RANGES: CIDR 形式の IP 範囲のカンマ区切りリスト(すべての IPv4 範囲またはすべての IPv6 範囲)。例:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96

  • COUNTRY_CODE: 2 文字の国コードのカンマ区切りリスト

    • 上り(内向き)方向の場合は、--src-region-code フラグで送信元の国コードを指定します。下り(外向き)方向で --src-region-code フラグを使用することはできません。また、--src-network-scopeNON_INTERNETVPC_NETWORKINTRA_VPC に設定されている場合も使用できません。
    • 下り(外向き)方向の場合は、--dest-region-code フラグで宛先の国コードを指定します。上り(内向き)方向で --dest-region-code フラグを使用することはできません。また、--dest-network-scopeNON_INTERNET に設定されている場合も使用できません。
  • LIST_NAMES: Google 脅威インテリジェンス リストの名前のカンマ区切りのリスト

    • 上り(内向き)方向の場合は、--src-threat-intelligence フラグで送信元の Google Threat Intelligence リストを指定します。下り(外向き)方向で --src-threat-intelligence フラグを使用することはできません。また、--src-network-scopeNON_INTERNETVPC_NETWORK、または INTRA_VPC に設定されている場合も使用できません。
    • 下り(外向き)方向の場合は、--dest-threat-intelligence フラグで宛先の Google 脅威インテリジェンス リストを指定します。上り(内向き)方向で、または --dest-network-scopeNON_INTERNET に設定されている場合は、--dest-threat-intelligence フラグを使用できません。
  • ADDR_GRP_URL: アドレス グループの一意の URL 識別子

    • 上り(内向き)方向の場合は --src-address-groups フラグで送信元のアドレス グループを指定します。下り(外向き)方向の場合、--src-address-groups フラグは使用できません。
    • 下り(外向き)方向の場合は --dest-address-groups フラグで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-address-groups フラグは使用できません。
  • DOMAIN_NAME: ドメイン名のカンマ区切りリスト。ドメイン名の形式で説明されている形式で指定します。

    • 上り(内向き)方向の場合は、--src-fqdns フラグで送信元のドメイン名を指定します。下り(外向き)方向の場合は、--src-fqdns フラグは使用できません。
    • 下り(外向き)方向の場合は --dest-fqdns フラグで宛先のアドレス グループを指定します。上り(内向き)方向の場合、--dest-fqdns フラグは使用できません。
  • ACTION: 次のいずれかのアクション:

    • allow: ルールに一致する接続を許可します。
    • deny: ルールに一致する接続を拒否します。
    • apply_security_profile_group: レイヤ 7 検査用に構成されたファイアウォール エンドポイントにパケットを透過的に送信します。
    • goto_next: 接続評価を階層内の次のレベル(フォルダまたはネットワーク)に渡します。

    VM の各ネットワーク インターフェースに対するルールと対応するアクションの評価方法については、ポリシーとルールの評価順序をご覧ください。

  • SECURITY_PROFILE_GROUP: レイヤ 7 検査に使用されるセキュリティ プロファイル グループの名前。この引数は、apply_security_profile_group アクションが選択されている場合にのみ指定します。

  • --tls-inspect: ルールで apply_security_profile_group アクションが選択されている場合、TLS インスペクション ポリシーを使用して TLS トラフィックを検査します。TLS インスペクションはデフォルトで無効になっています。また、--no-tls-inspect を指定することもできます。

  • PROTOCOL_PORT: プロトコル名または番号(tcp,17)、プロトコルと宛先ポート(tcp:80)、プロトコルと宛先ポートの範囲(tcp:5000-6000)のカンマ区切りリスト。

    プロトコルなしでは、ポートまたはポート範囲を指定することはできません。ICMP の場合、ポートまたはポート範囲を指定できません。例: --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp

    IPv4 ICMP を指定するには、icmp またはプロトコル番号 1 を使用します。IPv6 ICMP を指定するには、プロトコル番号 58 を使用します。詳細については、プロトコルとポートをご覧ください。

  • NETWORKS: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME 形式の VPC ネットワーク リソース URL のカンマ区切りリスト。PROJECT_ID は VPC ネットワークを含むプロジェクトのプロジェクト ID、NETWORK_NAME はネットワーク名です。省略すると、ルールは対象のリソースの下のすべての VPC ネットワークに適用されます。

    詳細については、階層型ファイアウォール ポリシー ルールのターゲットをご覧ください。

  • SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りのリスト。ルールは、指定したサービス アカウントに対するアクセス権で実行されている VM にのみ適用されます。

    詳細については、階層型ファイアウォール ポリシー ルールのターゲットをご覧ください。

  • --enable-logging--no-enable-logging: 指定されたルールに対してファイアウォール ルールロギングを有効または無効にします。

  • --disabled: ファイアウォール ルールが存在しても、接続の処理時に考慮されないファイアウォール ルールを示します。このフラグを省略すると、ルールが有効になります。または、--no-disabled を指定します。

ポリシーを組織またはフォルダに関連付ける

ポリシーをリソースに関連付けると、階層内のリソースの下にある VM のポリシールールをアクティブ化できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. [関連付け] タブをクリックします。

  5. [関連付けを追加] をクリックします。

  6. 組織のルートを選択するか、組織内のフォルダを選択します。

  7. [追加] をクリックします。

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

次のように置き換えます。

  • POLICY_NAME: ポリシーの略称またはシステムによって生成された名前
  • ORG_ID: 組織の ID
  • FOLDER_ID: ポリシーをフォルダに関連付ける場合は、ここで指定します。ポリシーを組織レベルに関連付ける場合は省略します。
  • ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前は「organization ORG_ID」または「folder FOLDER_ID」に設定されます。
  • --replace-association-on-target
    デフォルトでは、すでに関連付けがある組織またはフォルダに関連付けを挿入しようとすると、そのメソッドは失敗します。このフラグを指定すると、新しい関連付けが作成されると同時に既存の関連付けが削除されます。これにより、移行時にポリシーのないリソースが設定されることがなくなります。

リソース間でポリシーを移動する

ポリシーを移動すると、ポリシーを所有するリソースが変更されます。ポリシーを移動するには、古いリソースと新しいリソースの両方に move 権限が必要です。

ポリシーを移動しても、既存のポリシーの関連付けや既存のルールの評価には影響しませんが、移動後にポリシーを変更または関連付けを行う権限を持つ人に影響する可能性があります。

コンソール

この手順では Google Cloud CLI を使用します。

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

以下を置き換えます。

  • POLICY_NAME: 移動するポリシーの略称またはシステムによって生成された名前
  • ORG_ID: 組織の ID。ポリシーを組織に移動する場合は、この ID を指定しますが、フォルダは指定しません。
  • FOLDER_ID: ポリシーをフォルダに関連付ける場合は、ここで指定します。ポリシーを組織に関連付ける場合は省略します。

ポリシーの説明を更新する

更新できるポリシー フィールドは [説明] フィールドのみです。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. [編集] をクリックします。

  5. [説明] を変更します。

  6. [保存] をクリックします。

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

リスト型ポリシー

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

    組織の場合は、[この組織に関連付けられているファイアウォール ポリシー] セクションに関連付けられているポリシーが表示されます。[この組織内にあるファイアウォール ポリシー] セクションには、組織が所有するポリシーが一覧表示されます。

    フォルダの場合は、[このフォルダに関連付けられている、またはこのフォルダに継承されているファイアウォール ポリシー] セクションに、フォルダに関連付けられているポリシーまたは継承されているポリシーが表示されます。[このフォルダ内にあるファイアウォール ポリシー] セクションには、フォルダによって所有されているポリシーが一覧表示されます。

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

ポリシーの説明を取得する

すべてのファイアウォール ルールを含む、ポリシーのすべての詳細を表示できます。また、ポリシー内のすべてのルールにある属性も確認できます。この属性は、ポリシーごとの上限としてカウントされます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

ポリシーを削除する

削除する前に、組織のファイアウォール ポリシーのすべての関連付けを削除する必要があります。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. 削除するポリシーをクリックします。

  4. [関連付け] タブをクリックします。

  5. すべての関連付けを選択します。

  6. [関連付けを削除] をクリックします。

  7. すべての関連付けを削除したら、[削除] をクリックします。

gcloud

  1. ファイアウォール ポリシーに関連付けられているすべてのリソースを一覧表示します。

    gcloud compute firewall-policies describe POLICY_NAME \
        --organization ORG_ID
    
  2. 個々の関連付けを削除します。関連付けを削除するには、関連するリソースまたはそのリソースの祖先に対する compute.orgSecurityResourceAdmin ロールが必要です。

    gcloud compute firewall-policies associations delete RESOURCE_NAME \
        --organization ORG_ID \
        --firewall-policy POLICY_NAME
    
  3. ポリシーを削除します。

    gcloud compute firewall-policies delete POLICY_NAME \
        --organization ORG_ID
    

リソースの関連付けを一覧表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. 選択したリソース(組織またはフォルダ)について、関連するポリシーと継承されたポリシーのリストが表示されます。

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

ポリシーの関連付けを一覧表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. [関連付け] タブをクリックします。

  5. ポリシーの関連付けが一覧で表示されます。

gcloud

gcloud compute firewall-policies describe POLICY_ID

関連付けを削除する

組織またはフォルダに対するファイアウォール ポリシーの適用を停止するには、関連付けを削除します。

ただし、あるセキュリティ ポリシーを別のファイアウォール ポリシーに入れ替える場合は、最初に既存の関連付けを削除する必要はありません。この操作を行うと、どちらのポリシーも適用されない期間が残ります。代わりに、新しいポリシーを関連付ける際は、既存のポリシーを置き換えます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. [関連付け] タブをクリックします。

  5. 削除する関連付けを選択します。

  6. [関連付けを削除] をクリックします。

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

ファイアウォール ポリシー ルールのタスク

既存のファイアウォール ポリシー内のルールの作成

ファイアウォール ルールを作成するをご覧ください。

ポリシー内のすべてのルールを一覧表示する

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。ルールが [ファイアウォール ルール] タブに表示されます。

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

ルールの説明を取得する

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. ルールの優先度をクリックします。

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

次のように置き換えます。

  • PRIORITY: 表示するルールの優先度。各ルールの優先度は異なるため、この設定はルールによって一意に識別されます
  • ORG_ID: 組織の ID
  • POLICY_NAME: ルールが含まれるポリシーの略称またはシステム生成名

ルールを更新する

フィールドの説明については、ファイアウォール ルールの作成をご覧ください。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. ルールの優先度をクリックします。

  5. [編集] をクリックします。

  6. 変更対象のフィールドに修正を加えます。

  7. [保存] をクリックします。

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

ポリシー間でルールのクローンを作成する

ターゲット ポリシーからすべてのルールを削除し、ソースポリシーのルールで置き換えます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ルールのコピー元ポリシーをクリックします。

  4. 画面の上部の [クローン] をクリックします。

  5. ターゲット ポリシーの名前を指定します。

  6. 新しいポリシーをすぐに関連付けるには、[続行] > [ポリシーとリソースの関連付け] をクリックします。

  7. [クローン] をクリックします。

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

次のように置き換えます。

  • POLICY_NAME: コピーされたルールを受け取るポリシー
  • ORG_ID: 組織の ID
  • SOURCE_POLICY: ルールのコピー元のポリシー。リソースの URL で指定する必要があります

ポリシーからルールを削除する

ポリシーからルールを削除すると、そのルールを継承しているすべての VM からルールが削除されます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. 削除するルールを選択します。

  5. [削除] をクリックします。

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

次のように置き換えます。

  • PRIORITY: ポリシーから削除するルールの優先度
  • ORG_ID: 組織の ID
  • POLICY_NAME: そのルールを含むポリシー

ネットワークで有効なファイアウォール ルールを取得する

指定した VPC ネットワークに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示します。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] に移動

  2. ファイアウォール ポリシー ルールを表示するネットワークをクリックします。

  3. [ファイアウォール ポリシー] をクリックします。

  4. ファイアウォール ポリシーを開いて、このネットワークに適用されるルールを表示します。

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

次のように置き換えます。

  • NETWORK_NAME: 有効なルールを取得する対象のネットワーク

また、ネットワークの有効なファイアウォール ルールは [ファイアウォール] ページでも確認できます。

コンソール

  1. Google Cloud コンソールで [ファイアウォール ポリシー] ページに移動します。

    [ファイアウォール ポリシー] に移動

  2. ファイアウォール ポリシーは、[このプロジェクトによって継承されるファイアウォール ポリシー] セクションに表示されます。

  3. ファイアウォール ポリシーをクリックして、このネットワークに適用されるルールを表示します。

VM インターフェースで有効なファイアウォール ルールを取得する

指定した Compute Engine VM インターフェースに適用されているすべての階層型ファイアウォール ポリシー ルール、VPC ファイアウォール ルール、グローバル ネットワーク ファイアウォール ポリシー ルールを表示します。

コンソール

  1. Google Cloud コンソールの [VM インスタンス] ページに移動します。

    [VM インスタンス] に移動

  2. プロジェクト セレクタのプルダウン メニューで、VM を含むプロジェクトを選択します。

  3. VM をクリックします。

  4. [ネットワーク インターフェース] で、インターフェースをクリックします。

  5. [ファイアウォールとルートの詳細] に有効なファイアウォール ルールが表示されます。

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

次のように置き換えます。

  • INSTANCE_NAME: 有効なルールを取得する対象の VM。インターフェースが指定されていない場合、プライマリ インターフェース(nic0)のルールが返されます。
  • INTERFACE: 有効なルールを取得する対象の VM インターフェース。デフォルトは nic0 です。
  • ZONE: VM のゾーン。対象のゾーンがすでにデフォルトとして選択されている場合は省略可能です。

トラブルシューティング

このセクションでは、表示される可能性があるエラー メッセージについて説明します。

  • FirewallPolicy may not specify a name. One will be provided.

    ポリシー名を指定できません。階層型ファイアウォール ポリシーの名前は、ポリシーの作成時に Google Cloud によって生成される数値 ID です。ただし、わかりやすい略称を指定することもできます。これは、多くのコンテキストでエイリアスとして機能します。

  • FirewallPolicy may not specify associations on creation.

    関連付けは、階層のファイアウォール ポリシーの作成後にのみ作成できます。

  • Can not move firewall policy to a different organization.

    階層型ファイアウォール ポリシーの移動は、同じ組織内で行われる必要があります。

  • The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

    リソースがすでに階層型ファイアウォール ポリシーに接続されている場合、既存の関連付けを置き換えるオプションが true に設定されていない限り、接続のオペレーションは失敗します。

  • Cannot have rules with the same priorities.

    ルールの優先度は、階層型ファイアウォール ポリシー内で一意にする必要があります。

  • Direction must be specified on firewall policy rule.

    REST リクエストを直接送信して階層型ファイアウォール ポリシー ルールを作成する場合は、ルールの方向を指定する必要があります。Google Cloud CLI を使用していて、方向を指定しない場合、デフォルトは INGRESS です。

  • Can not specify enable_logging on a goto_next rule.

    goto_next アクションのルールでは、ファイアウォールのロギングは許可されません。goto_next アクションがファイアウォール ポリシーの評価順序を表すために使用され、「許可」や「拒否」などのターミナル アクションではないためです。

  • Must specify at least one destination on Firewall policy rule.

    ファイアウォール ポリシールールの layer4Configs フラグには、プロトコル、またはプロトコルと宛先ポートの組を 1 つ以上指定する必要があります。

    ファイアウォール ポリシー ルールのトラブルシューティングの詳細については、VPC ファイアウォール ルールのトラブルシューティングをご覧ください。

次のステップ