Utiliser des stratégies et des règles de pare-feu hiérarchiques

Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Stratégies de pare-feu hiérarchiques. Pour consulter des exemples de mises en œuvre de stratégies de pare-feu hiérarchiques, consultez la section Exemples de stratégies de pare-feu hiérarchiques.

Limites

Les règles des stratégies de pare-feu hiérarchiques ne sont pas compatibles avec les tags sources ou les comptes de service sources.
Les règles des stratégies de pare-feu hiérarchiques ne permettent pas d'utiliser des tags réseau pour définir des cibles. Vous devez plutôt utiliser un réseau VPC cible ou un compte de service cible.
Les stratégies de pare-feu peuvent être appliquées au niveau du dossier et de l'organisation, mais pas au niveau du réseau VPC. Les stratégies de pare-feu VPC standards sont acceptées pour les réseaux VPC.
Une seule stratégie de pare-feu peut être associée à une ressource (dossier ou organisation), bien que les instances de machine virtuelle (VM) d'un dossier puissent hériter des règles de la hiérarchie de ressources complète au-dessus de la VM.
La journalisation des règles de pare-feu est compatible avec les règles allow et deny, mais pas avec les règles goto_next.
Le protocole IPv6 Hop-by-Hop n'est pas compatible avec les règles de pare-feu.

Tâches liées aux stratégies de pare-feu

Remarque : Pour vérifier la progression des opérations répertoriées dans cette section, assurez-vous que votre rôle utilisateur dispose des autorisations du rôle d'administrateur des stratégies de pare-feu de l'organisation Compute (roles/compute.orgFirewallPolicyAdmin) attribuées au niveau de l'organisation :

compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy

Créer des règles de pare-feu

Vous pouvez créer une stratégie sur n'importe quelle ressource (organisation ou dossier) de votre hiérarchie. Après avoir créé une stratégie, vous pouvez l'associer à n'importe quelle ressource de votre organisation. Une fois associée, les règles de la stratégie deviennent actives pour les VM situées sous la ressource associée dans la hiérarchie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.create

Rôles

compute.orgFirewallPolicyAdmin sur la ressource dans laquelle vous souhaitez créer la stratégie

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou un dossier au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Attribuez un nom à la stratégie.
Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer > Ajouter une règle.

Pour en savoir plus, consultez la section Créer des règles de pare-feu.
Si vous souhaitez associer la stratégie à une ressource, cliquez sur Continuer > Associer la stratégie à des ressources.

Pour en savoir plus, consultez la section Associer une stratégie à l'organisation ou à un dossier.
Cliquez sur Créer.

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

Remplacez l'élément suivant :

ORG_ID : ID de votre organisation.
Spécifiez cet ID si vous créez la stratégie au niveau de l'organisation. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie à la ressource de l'organisation.
FOLDER_ID : ID d'un dossier.
Spécifiez cet ID si vous créez la stratégie dans un dossier donné. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie au dossier.
SHORT_NAME : nom de la stratégie
Une stratégie créée en utilisant Google Cloud CLI possède deux noms : un nom généré par le système et un nom court que vous spécifiez. Lorsque vous mettez à jour une stratégie existante en utilisant Google Cloud CLI, vous pouvez indiquer le nom généré par le système ou utiliser le nom court accompagné de l'ID d'organisation. Lorsque vous utilisez l'API pour mettre à jour la stratégie, vous devez fournir le nom généré par le système.

Créer des règles de pare-feu

Les règles des stratégies de pare-feu hiérarchiques doivent être créées dans une stratégie de pare-feu hiérarchique. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à une ressource.

Chaque règle de stratégie de pare-feu hiérarchique peut inclure des plages IPv4 ou IPv6, mais pas les deux.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

compute.orgFirewallPolicyAdmin sur la ressource contenant la stratégie ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur le nom de votre stratégie.
Cliquez sur Ajouter une règle.
Renseignez les champs de la règle :
1. Priorité : ordre d'évaluation numérique de la règle. Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
2. Définissez la collecte de journaux sur Activée ou Désactivée.
3. Sous Sens du trafic, indiquez si cette règle est une règle d'entrée ou de sortie.
4. Pour Action en cas de correspondance, choisissez l'une des options suivantes :
  1. Autoriser : autorise les connexions correspondant à la règle.
  2. Refuser : refuse les connexions correspondant à la règle.
  3. Passer à la suivante : l'évaluation de la connexion est transmise à la règle de pare-feu inférieure suivante dans la hiérarchie.
  4. Procéder à l'inspection L7 : envoie les paquets au point de terminaison de pare-feu configuré pour l'inspection de couche 7.
    - Dans la liste Groupe de profils de sécurité, sélectionnez le nom d'un groupe de profils de sécurité.
    - Pour activer l'inspection TLS des paquets, sélectionnez Activer l'inspection TLS.
  Pour en savoir plus sur la manière dont les règles et les actions correspondantes sont évaluées pour chaque interface réseau de la VM, consultez la section Ordre d'évaluation des stratégies et des règles.
5. Facultatif : vous pouvez limiter la règle à certains réseaux en les spécifiant dans le champ Réseau cible. Cliquez sur AJOUTER UN RÉSEAU, puis sélectionnez le projet et le réseau. Vous pouvez ajouter plusieurs réseaux cibles à une règle.
6. Facultatif : vous pouvez limiter la règle aux VM en cours d'exécution qui ont accès à certains comptes de service en spécifiant ces comptes dans le champ Comptes de service cibles.
7. Pour une règle d'entrée, spécifiez le filtre source :
  - Pour filtrer le trafic entrant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
  - Pour filtrer le trafic entrant par plages IPv6 sources, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez ::/0 pour n'importe quelle source IPv6.
8. Pour une règle de sortie, spécifiez le filtre de destination :
  - Pour filtrer le trafic sortant par plage IPv4 de destination, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
  - Pour filtrer le trafic sortant par plage IPv6 de destination, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez ::/0 pour n'importe quelle destination IPv6.
9. Facultatif : si vous créez une règle d'entrée, spécifiez les noms de domaine complets sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les noms de domaine complets de destination auxquels cette règle s'applique. Pour en savoir plus sur les objets de nom de domaine, consultez la page Objets de nom de domaine.
10. Facultatif : si vous créez une règle d'entrée, sélectionnez les géolocalisations sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les géolocalisations de destination auxquelles cette règle s'applique. Pour en savoir plus sur les objets de géolocalisation, consultez la page Objets de géolocalisation.
11. Facultatif: si vous créez une règle d'entrée, sélectionnez les groupes d'adresses sources auxquels cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les groupes d'adresses de destination auxquels cette règle s'applique. Pour en savoir plus sur les groupes d'adresses, consultez la section Groupes d'adresses pour les stratégies de pare-feu.
12. Facultatif : si vous créez une règle d'entrée, sélectionnez les listes sources Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Si vous créez une règle de sortie, sélectionnez les listes de destination Google Cloud et Network Threat Intelligence auxquelles cette règle s'applique. Pour en savoir plus sur Threat Intelligence, consultez la page Threat Intelligence pour les règles de stratégie de pare-feu.
13. Facultatif: pour une règle Ingress, spécifiez les filtres Destination:
  - Pour filtrer le trafic entrant par plage IPv4 de destination, sélectionnez IPv4 et saisissez les blocs CIDR dans le champ Plage IP. Utilisez 0.0.0.0/0 pour n'importe quelle destination IPv4.
  - Pour filtrer le trafic entrant par plages IPv6 de destination, sélectionnez Plages IPv6 et saisissez les blocs CIDR dans le champ Plages IPv6 de destination. Utilisez ::/0 pour n'importe quelle destination IPv6. Pour en savoir plus, consultez la section Destination des règles d'entrée.
14. Facultatif: pour une règle Sortie, spécifiez le filtre Source:
  - Pour filtrer le trafic sortant par plage IPv4 source, sélectionnez IPv4, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez 0.0.0.0/0 pour n'importe quelle source IPv4.
  - Pour filtrer le trafic sortant par plage IPv6 source, sélectionnez IPv6, puis saisissez les blocs CIDR dans le champ Plage d'adresses IP. Utilisez ::/0 pour n'importe quelle source IPv6. Pour en savoir plus, consultez la section Source pour les règles de sortie.
15. Dans la section Protocoles et ports, spécifiez que la règle s'applique à tous les protocoles et à tous les ports de destination, ou spécifiez à quels protocoles et ports de destination elle s'applique.
  
  Pour spécifier le protocole ICMP IPv4, utilisez icmp ou le numéro de protocole 1. Pour spécifier le protocole ICMP IPv6, utilisez le numéro de protocole 58. Pour en savoir plus sur les protocoles, consultez la page Protocoles et ports.
16. Cliquez sur Create (Créer).
Cliquez sur Ajouter une règle pour ajouter une règle.
Cliquez sur Continuer > Associer la règle aux ressources pour associer la règle aux ressources, ou sur Créer pour créer la règle.

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    [--src-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--dest-region-codes COUNTRY_CODE,[COUNTRY_CODE,...]] \
    [--src-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--dest-threat-intelligence LIST_NAMES[,LIST_NAME,...]] \
    [--src-address-groups ADDR_GRP_URL[,ADDR_GRP_URL,...]] \
    [--dest-address-groups ADDR_GRP_URL[,ADDR_GRP_URLL,...]] \
    [--dest-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    [--src-fqdns DOMAIN_NAME[,DOMAIN_NAME,...]]
    --action ACTION \
    [--security-profile-group SECURITY_PROFILE_GROUP]  \
    [--tls-inspect | --no--tls-inspect] \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

Remplacez les éléments suivants :

PRIORITY : ordre d'évaluation numérique de la règle.

Les règles sont évaluées de la priorité la plus élevée à la plus faible, où 0 correspond à la priorité la plus élevée. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
ORG_ID : ID de votre organisation.
POLICY_NAME : le nom court ou le nom généré par le système de la stratégie
DIRECTION : indique si la règle est une règle INGRESS (par défaut) ou EGRESS.
- Incluez --src-ip-ranges pour spécifier les plages d'adresses IP de la source du trafic.
- Incluez --dest-ip-ranges pour spécifier les plages d'adresses IP pour la destination du trafic.
Pour en savoir plus, consultez les sections cibles, source et destination.
IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule (plages IPv4 ou IPv6, mais pas les deux simultanément). Exemples :
--src-ip-ranges=10.100.0.1/32,10.200.0.0/24
--src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
COUNTRY_CODE : liste de codes pays à deux lettres, séparés par une virgule
- Pour la direction entrante, spécifiez les codes de pays dans le paramètre --src-region-code. vous ne pouvez pas utiliser le paramètre --src-region-code pour la direction sortante.
- Pour la direction sortante, spécifiez les codes pays de destination dans le paramètre --dest-region-code. Vous ne pouvez pas utiliser le paramètre --dest-region-code pour la direction entrante.
LIST_NAMES : liste de noms des listes Threat Intelligence, séparés par une virgule
- Pour la direction entrante, spécifiez les listes sources Threat Intelligence dans le paramètre --src-threat-intelligence. Vous ne pouvez pas utiliser le paramètre --src-threat-intelligence pour la direction sortante.
- Pour la direction sortante, spécifiez les listes Threat Intelligence de destination dans le paramètre --dest-threat-intelligence. Vous ne pouvez pas utiliser le paramètre --dest-threat-intelligence pour la direction entrante.
ADDR_GRP_URL : identifiant d'URL unique du groupe d'adresses
- Pour la direction entrante, spécifiez les groupes d'adresses sources dans le paramètre --src-address-groups. vous ne pouvez pas utiliser le paramètre --src-address-groups pour la direction sortante.
- Pour la direction sortante, spécifiez les groupes d'adresses de destination dans le paramètre --dest-address-groups. vous ne pouvez pas utiliser le paramètre --dest-address-groups pour la direction entrante.
DOMAIN_NAME : liste de noms de domaines séparés par une virgule au format décrit dans la section Format des noms de domaine.
- Pour la direction entrante, spécifiez les noms de domaine sources dans le paramètre --src-fqdns. vous ne pouvez pas utiliser le paramètre --src-fqdns pour la direction sortante.
- Pour la direction sortante, spécifiez les groupes d'adresses de destination dans le paramètre --dest-fqdns. vous ne pouvez pas utiliser le paramètre --dest-fqdns pour la direction entrante.
ACTION : l'une des actions suivantes :
- allow : autorise les connexions correspondant à la règle.
- deny : refuse les connexions correspondant à la règle.
- apply_security_profile_group : envoie de manière transparente les paquets au point de terminaison de pare-feu configuré pour l'inspection de couche 7.
- goto_next : transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
Pour en savoir plus sur la manière dont les règles et les actions correspondantes sont évaluées pour chaque interface réseau de la VM, consultez la section Ordre d'évaluation des stratégies et des règles.
SECURITY_PROFILE_GROUP : nom d'un groupe de profils de sécurité utilisé pour l'inspection de couche 7. Ne spécifiez ce paramètre que lorsque l'action apply_security_profile_group est sélectionnée.
--tls-inspect : inspecte le trafic TLS à l'aide de la règle d'inspection TLS lorsque l'action apply_security_profile_group est sélectionnée dans la règle. Par défaut, l'inspection TLS est désactivée, ou vous pouvez spécifier --no-tls-inspect
PROTOCOL_PORT : liste de noms ou de numéros de protocole séparés par une virgule (tcp,17), les protocoles et les ports de destination (tcp:80), ou les protocoles et plages de ports de destination (tcp:5000-6000)

Vous ne pouvez pas spécifier de port ou de plage de ports sans protocole. Pour icmp, vous ne pouvez pas spécifier de port ou de plage de ports. Par exemple --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp.

Pour spécifier le protocole ICMP IPv4, utilisez icmp ou le numéro de protocole 1. Pour spécifier ICMP IPv6, utilisez le numéro de protocole 58. Pour en savoir plus, consultez la section Protocoles et ports.
NETWORKS : liste d'URL de ressources réseau VPC séparées par des virgules au format https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME, où PROJECT_ID correspond à l'ID du projet qui contient le réseau VPC, et NETWORK_NAME est le nom du réseau. En cas d'omission, la règle s'applique à tous les réseaux VPC de la ressource.

Pour plus d'informations, consultez la section Cibles pour les règles de stratégie de pare-feu hiérarchique.
SERVICE_ACCOUNTS : liste de comptes de service séparés par une virgule. La règle n'est appliquée qu'aux VM en cours d'exécution qui ont accès au compte de service spécifié.

Pour plus d'informations, consultez la section Cibles pour les règles de stratégie de pare-feu hiérarchique.
--enable-logging et --no-enable-logging : activent ou désactivent la journalisation des règles de pare-feu pour la règle donnée.
--disabled : indique que la règle de pare-feu, bien qu'elle existe, ne doit pas être prise en compte lors du traitement des connexions. Le fait d'ignorer cette option a pour effet d'activer la règle. Vous pouvez également spécifier --no-disabled.

Associer une stratégie à l'organisation ou au dossier

Associez une stratégie à une ressource pour activer les règles de la stratégie pour toutes les VM situées sous la ressource de la hiérarchie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.organizations.setFirewallPolicy sur la ressource cible
compute.firewallPolicies.addAssociation sur la stratégie de pare-feu

Rôles

compute.orgSecurityResourceAdmin sur la ressource cible et compute.orgFirewallPolicyUser sur la ressource de stratégie ou sur la stratégie elle-même

compute.orgSecurityResourceAdmin sur la ressource cible et compute.orgFirewallPolicyAdmin sur la ressource de stratégie ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Cliquez sur Ajouter une association.
Sélectionnez l'organisation racine ou sélectionnez des dossiers au sein de celle-ci.
Cliquez sur Ajouter.

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Remplacez les éléments suivants :

POLICY_NAME : le nom court ou le nom généré par le système de la stratégie
ORG_ID : ID de votre organisation.
FOLDER_ID : si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie à l'organisation.
ASSOCIATION_NAME : nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "organisation ORG_ID" ou "dossier FOLDER_ID".
--replace-association-on-target
Par défaut, si vous essayez d'insérer une association à une organisation ou un dossier déjà associé, la méthode échoue. Si vous spécifiez cette option, l'association existante est supprimée au moment où la nouvelle association est créée. Cela permet d'éviter que la ressource se retrouve sans stratégie pendant la transition.

Déplacer une stratégie d'une ressource à une autre

Le déplacement d'une stratégie a pour effet de modifier la ressource propriétaire de la stratégie. Pour déplacer une stratégie, vous devez disposer des autorisations move sur l'ancienne et la nouvelle ressource.

Le déplacement d'une stratégie n'a aucune incidence sur les associations de stratégies existantes ou sur l'évaluation des règles existantes, mais il peut affecter les utilisateurs autorisés à modifier ou à associer la stratégie après le déplacement.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.move

Rôles

compute.orgFirewallPolicyAdmin sur la nouvelle ressource et sur l'ancienne ressource ou la stratégie elle-même

Console

Utilisez Google Cloud CLI pour cette procédure.

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Remplacez les éléments suivants :

POLICY_NAME : nom court ou nom généré par le système de la stratégie que vous déplacez.
ORG_ID : ID de votre organisation. Spécifiez cet ID seulement si vous déplacez la stratégie vers l'organisation (ne spécifiez pas de dossier).
FOLDER_ID : si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie à l'organisation.

Mettre à jour la description d'une stratégie

Seul le champ Description peut être mis à jour pour la stratégie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

compute.orgFirewallPolicyAdmin sur la ressource où la stratégie s'applique ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur Modifier.
Modifiez la description.
Cliquez sur Enregistrer.

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

Règles de liste

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.list

Rôles

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

Pour une organisation, la section Stratégies de pare-feu associées à cette organisation affiche les stratégies associées. La section Stratégies de pare-feu situées dans cette organisation répertorie les stratégies appartenant à l'organisation.

Pour un dossier, la section Stratégies de pare-feu associées à ce dossier ou dont ce dossier a hérité affiche les stratégies associées ou dont le dossier a hérité. La section Stratégies de pare-feu situées dans ce dossier répertorie les stratégies appartenant au dossier.

Remarque : Les stratégies appartenant à une ressource (organisation ou dossier) peuvent ne pas être associées à cette ressource, mais peuvent être associées à cette ressource ou à d'autres ressources.

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Décrire une stratégie

Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu. De plus, de nombreux attributs figurent dans toutes les règles de la stratégie. Ces attributs sont comptabilisés dans une limite définie par stratégie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.get

Rôles

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser sur la ressource ou la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Supprimer une stratégie

Vous devez supprimer toutes les associations d'une stratégie de pare-feu d'organisation avant de pouvoir la supprimer.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.delete

Rôles

compute.orgFirewallPolicyAdmin sur la ressource ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie que vous souhaitez supprimer.
Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer les associations.
Une fois toutes les associations supprimées, cliquez sur Supprimer.

gcloud

Répertoriez toutes les ressources associées à une stratégie de pare-feu :

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

Supprimez les associations individuelles. Pour supprimer l'association, vous devez disposer du rôle compute.orgSecurityResourceAdmin sur la ressource associée ou sur l'ancêtre de cette ressource.
```
gcloud compute firewall-policies associations delete RESOURCE_NAME \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME
```

Supprimez la stratégie :

gcloud compute firewall-policies delete POLICY_NAME \
    --organization ORG_ID

Répertorier les associations pour une ressource

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.organizations.listAssociations

Rôles

compute.orgSecurityResourceAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Pour la ressource sélectionnée (organisation ou dossier), la liste des règles associées et héritées s'affiche.

gcloud

gcloud compute firewall-policies associations list \
    [--organization ORG_ID | --folder FOLDER_ID]

Répertorier les associations pour une stratégie

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.organizations.listAssociations

Rôles

compute.orgSecurityResourceAdmin sur la ressource ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Les associations sont répertoriées dans le tableau.

gcloud

gcloud compute firewall-policies describe POLICY_ID

Supprimer une association

Pour arrêter l'application d'une stratégie de pare-feu sur l'organisation ou un dossier, supprimez l'association.

Toutefois, si vous souhaitez remplacer une stratégie de pare-feu par une autre, il n'est pas nécessaire de supprimer d'abord l'association existante, car il y aurait alors une période pendant laquelle aucune stratégie n'est appliquée. Au lieu de cela, remplacez la stratégie existante lorsque vous associez une nouvelle stratégie.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.organizations.setFirewallPolicy sur la ressource cible
compute.firewallPolicies.addAssociation sur la stratégie de pare-feu

Rôles

compute.orgSecurityResourceAdmin sur la ressource cible et compute.orgFirewallPolicyUser sur la ressource de stratégie ou la stratégie elle-même

compute.orgSecurityResourceAdmin sur la ressource cible et compute.orgFirewallPolicyAdmin sur la ressource de stratégie ou la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur l'onglet Associations.
Sélectionnez l'association que vous souhaitez supprimer.
Cliquez sur Supprimer les associations.

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

Tâches liées aux règles des stratégies de pare-feu

Créer une règle dans une stratégie de pare-feu existante

Consultez la section Créer des règles de pare-feu.

Répertorier toutes les règles d'une stratégie

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.get

Rôles

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser sur la ressource ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie. Les règles sont répertoriées dans l'onglet Règles de pare-feu.

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

Décrire une règle

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.get

Rôles

compute.orgFirewallPolicyAdmin

compute.orgFirewallPolicyUser

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Remplacez les éléments suivants :

PRIORITY : priorité de la règle que vous souhaitez afficher. Comme chaque règle doit avoir une priorité unique, ce paramètre identifie une règle de manière unique.
ORG_ID : ID de votre organisation.
POLICY_NAME : le nom court ou le nom généré par le système de la stratégie contenant la règle

Mettre à jour une règle

Pour obtenir une description des champs, consultez la page Créer des règles de pare-feu.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

compute.orgFirewallPolicyAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Cliquez sur la priorité de la règle.
Cliquez sur Modifier.
Modifiez les champs comme souhaité.
Cliquez sur Save (Enregistrer).

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Copier des règles d'une stratégie à une autre

Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.copyRule

Rôles

compute.orgFirewallPolicyAdmin sur la ressource ou sur les stratégies elles-mêmes

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie dont vous souhaitez copier les règles.
Cliquez sur Cloner en haut de l'écran.
Indiquez le nom d'une stratégie cible.
Cliquez sur Continuer > Associer la stratégie à des ressources si vous souhaitez associer la nouvelle stratégie immédiatement.
Cliquez sur Clone (Cloner).

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

Remplacez l'élément suivant :

POLICY_NAME : stratégie destinée à recevoir les règles copiées.
ORG_ID : ID de votre organisation.
SOURCE_POLICY : stratégie à partir de laquelle les règles seront copiées (doit être l'URL de la ressource).

Supprimer une règle d'une stratégie

Le fait de supprimer une règle d'une stratégie entraîne la suppression de cette règle de toutes les VM qui héritent de la règle.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.firewallPolicies.update

Rôles

compute.orgFirewallPolicyAdmin sur la ressource hébergeant la stratégie ou sur la stratégie elle-même

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.
Cliquez sur la stratégie.
Sélectionnez la règle que vous souhaitez supprimer.
Cliquez sur Supprimer.

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

Remplacez l'élément suivant :

PRIORITY : priorité de la règle que vous souhaitez supprimer de la stratégie.
ORG_ID : ID de votre organisation.
POLICY_NAME : stratégie qui contient la règle.

Obtenir des règles de pare-feu efficaces pour un réseau

Cela permet d'afficher toutes les règles des stratégies de pare-feu hiérarchiques, les règles de pare-feu VPC et les règles de stratégies de pare-feu réseau mondiales appliquées à un réseau VPC spécifié.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.networks.getEffectiveFirewalls sur le réseau

Rôles

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

Dans Google Cloud Console, accédez à la page Réseaux VPC.

Accéder aux réseaux VPC
Cliquez sur le réseau dont vous souhaitez afficher les règles des stratégies de pare-feu.
Cliquez sur Stratégies de pare-feu.
Développez chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

Remplacez l'élément suivant :

NETWORK_NAME : réseau pour lequel vous souhaitez obtenir des règles efficaces.

Vous pouvez également afficher les règles de pare-feu efficaces pour un réseau à partir de la page Pare-feu.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.organizations.listAssociations sur le réseau
(Facultatif) resourcemanager.folders.get et resourcemanager.organizations.get pour afficher les informations dans les colonnes Hérité de et Emplacement de, procédez comme suit :

Rôles

Pour afficher les règles de pare-feu, procédez comme suit :

compute.orgSecurityResourceAdmin
compute.viewer

(Facultatif) Pour afficher les informations dans les colonnes Hérité de et Emplacement de, procédez comme suit :

browser
resourcemanager.organizationAdmin

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page "Stratégies de pare-feu"
Les stratégies de pare-feu sont répertoriées dans la section Stratégies de pare-feu héritées par ce projet.
Cliquez sur chaque stratégie de pare-feu pour afficher les règles qui s'appliquent à ce réseau.

Obtenir des règles de pare-feu efficaces pour une interface de VM

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.instances.getEffectiveFirewalls sur le réseau

Rôles

compute.securityAdmin
compute.viewer
compute.networkUser
compute.networkViewer

Console

Dans la console Google Cloud, accédez à la page Instances de VM.

Accéder à la page "Instances de VM"
Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la VM.
Cliquez sur la VM.
Pour Interfaces réseau, cliquez sur l'interface.
Les règles de pare-feu efficaces apparaissent sous Détails des pare-feu et des routes.

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE] \
    [--zone ZONE]

Remplacez l'élément suivant :

INSTANCE_NAME : VM pour laquelle vous souhaitez obtenir des règles efficaces. Si aucune interface n'est spécifiée, les règles correspondant à l'interface principale s'affichent (nic0).
INTERFACE : interface de VM pour laquelle vous souhaitez obtenir des règles efficaces. La valeur par défaut est nic0.
ZONE : zone de la VM. Cette option est facultative si la zone choisie est déjà définie comme valeur par défaut.

Dépannage

Cette section contient des explications sur les messages d'erreur que vous pouvez rencontrer.

FirewallPolicy may not specify a name. One will be provided.

Vous ne pouvez pas spécifier de nom de stratégie. Les "noms" de stratégies de pare-feu hiérarchique sont des ID numériques générés par Google Cloud lors de la création de la stratégie. Toutefois, vous pouvez spécifier un nom court plus convivial, qui agit comme un alias dans de nombreux contextes.
FirewallPolicy may not specify associations on creation.

Les associations ne peuvent être créées qu'après la création des stratégies de pare-feu hiérarchiques.
Can not move firewall policy to a different organization.

Les déplacements de stratégies de pare-feu hiérarchiques doivent rester au sein de la même organisation.
The attachment already has an association. Please set the option of replacing existing association to true if you want to replace the old one.

Si une ressource est déjà associée à une stratégie de pare-feu hiérarchique, l'opération de rattachement échoue sauf si l'option de remplacement des associations existantes est définie sur "true".
Cannot have rules with the same priorities.

Les priorités des règles doivent être uniques au sein d'une stratégie de pare-feu hiérarchique.
Direction must be specified on firewall policy rule.

Lorsque vous créez des règles des stratégies de pare-feu hiérarchiques en envoyant directement des requêtes REST, vous devez spécifier la direction de la règle. Lorsque vous utilisez la Google Cloud CLI et qu'aucune direction n'est spécifiée, la valeur par défaut est INGRESS.
Can not specify enable_logging on a goto_next rule.

La journalisation du pare-feu n'est pas autorisée pour les règles ayant une action goto_next, car les actions goto_next sont utilisées pour représenter l'ordre d'évaluation des différentes stratégies de pare-feu. Elles ne sont pas des actions de terminal telles que ALLOW ou DENY.
Must specify at least one destination on Firewall policy rule.

Le paramètre layer4Configs de la règle de stratégie de pare-feu doit spécifier au moins un protocole ou un protocole et un port de destination.

Pour en savoir plus sur la résolution des problèmes liés aux règles des stratégies de pare-feu, consultez la page Dépannage des règles de pare-feu VPC.