Utiliser des stratégies de pare-feu hiérarchiques

Dans cette page, nous partons du principe que vous maîtrisez les concepts décrits dans la page Présentation des stratégies de pare-feu hiérarchiques. Pour consulter des exemples de mises en œuvre de stratégies de pare-feu hiérarchiques, consultez la section Exemples de stratégies de pare-feu hiérarchiques.

Limites

  • Les règles des stratégies de pare-feu hiérarchiques ne peuvent utiliser que des plages d'adresses IP pour définir des sources pour les règles d'entrée. Les tags sources et les comptes de service sources ne sont compatibles qu'avec les règles de pare-feu VPC.
  • Les règles des stratégies de pare-feu hiérarchiques ne permettent pas d'utiliser des tags réseau pour définir des cibles. Vous devez plutôt utiliser un réseau VPC cible ou un compte de service cible.
  • Les stratégies de pare-feu peuvent être appliquées au niveau du dossier et de l'organisation, mais pas au niveau du réseau VPC. Les stratégies de pare-feu VPC standards sont acceptées pour les réseaux VPC.
  • Une seule stratégie de pare-feu peut être associée à un nœud (dossier ou organisation), bien que les instances de machine virtuelle (VM) d'un dossier puissent hériter des règles de la hiérarchie de nœuds complète au-dessus de la VM.
  • La journalisation des règles de pare-feu est compatible avec les règles allow et deny, mais pas avec les règles goto_next.
  • Les adresses IPv6 ne sont pas compatibles.

Tâches liées aux stratégies de pare-feu

Créer une stratégie de pare-feu

Vous pouvez créer une stratégie sur n'importe quel nœud, organisation ou dossier de votre hiérarchie. Après avoir créé une stratégie, vous pouvez l'associer à n'importe quel nœud de votre organisation. Une fois associée, les règles de la stratégie deviennent actives pour les VM situées sous le nœud associé dans la hiérarchie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou un dossier au sein de votre organisation.

  3. Cliquez sur Créer une stratégie de pare-feu.

  4. Attribuez un nom à la stratégie.

  5. Si vous souhaitez créer des règles pour votre stratégie, cliquez sur Continuer, puis sur Ajouter une règle.

    Pour en savoir plus, consultez la section Créer des règles de pare-feu.

  6. Si vous souhaitez associer la stratégie à un nœud, cliquez sur Continuer, puis sur Associer.

    Pour en savoir plus, consultez la section Associer une stratégie à l'organisation ou à un dossier.

  7. Cliquez sur Créer.

gcloud

gcloud beta compute org-security-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --display-name DISPLAY_NAME

Remplacez l'élément suivant :

  • ORG_ID : ID de votre organisation.
    Spécifiez cet ID si vous créez la stratégie au niveau de l'organisation. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie au nœud de l'organisation.
  • FOLDER_ID: ID d'un dossier.
    Spécifiez cet ID si vous créez la stratégie dans un dossier donné. Cet ID indique seulement où se trouve la stratégie. Il n'associe pas automatiquement la stratégie au dossier.
  • DISPLAY_NAME: nom de la stratégie
    Une stratégie créée à l'aide de l'interface de ligne de commande gcloud possède deux noms : un nom généré par le système et un nom à afficher que vous avez fourni. Lorsque vous mettez à jour une stratégie existante à l'aide de l'interface gcloud, vous pouvez indiquer le nom généré par le système ou le nom à afficher et l'ID de l'organisation. Lorsque vous utilisez l'API pour mettre à jour la stratégie, vous devez fournir le nom généré par le système.

Créer des règles de pare-feu

Les règles des stratégies de pare-feu hiérarchiques doivent être créées dans une stratégie de pare-feu hiérarchique. Les règles ne sont actives que lorsque vous associez la stratégie qui les contient à un nœud.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.

  3. Cliquez sur le nom de votre stratégie.

  4. Cliquez sur Ajouter une règle.

  5. Renseignez les champs de la règle :

    1. Priorité : ordre d'évaluation numérique de la règle. Une règle de priorité 1 est évaluée en premier. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
    2. Définissez la collecte de journaux sur Activée ou Désactivée.
    3. Sous Sens du trafic, indiquez si cette règle est une règle d'entrée ou de sortie.
    4. Sous Action en cas de correspondance, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser), ou si l'évaluation de la connexion est transmise à la règle de pare-feu inférieure suivante de la hiérarchie (Déléguer au niveau suivant).
    5. Facultatif : vous pouvez limiter la règle à certains réseaux seulement en les spécifiant dans le champ Réseau cible.
    6. Facultatif : vous pouvez limiter la règle aux VM exécutées en tant que comptes de service spécifiés en indiquant les comptes de service dans le champ Compte de service cible.
    7. Si vous créez une règle d'entrée, spécifiez les plages d'adresses IP sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, spécifiez les plages d'adresses IP de destination auxquelles cette règle s'applique. Dans les deux cas, spécifiez 0.0.0.0/0 pour toutes les adresses IP.
    8. Sous Protocoles et ports, indiquez que la règle s'applique à tous les protocoles et ports, ou précisez les protocoles et ports auxquels elle s'applique.
    9. Cliquez sur Créer.
  6. Cliquez sur Ajouter une règle pour ajouter une règle. Cliquez sur Continuer > Associer pour associer la règle à un nœud ou sur Créer pour créer la règle.

gcloud

gcloud beta compute org-security-policies rules create PRIORITY \
    --organization ORG_ID \
    --security-policy POLICY_NAME \
    --direction DIRECTION \
    --action ACTION \
    --layer4-configs PROTOCOL_PORT \
    --src-ip-ranges IP_RANGES \
    [--enable-logging | --no-enable-logging]

Remplacez l'élément suivant :

  • PRIORITY : ordre d'évaluation numérique de la règle
    Une règle dont la priorité est 1 est évaluée en premier. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
  • ORG_ID : ID de votre organisation.
  • POLICY_NAME : nom à afficher ou nom généré par le système pour la stratégie.
  • DIRECTION : indique si la règle est une règle ingress ou egress (la valeur par défaut est ingress).
  • ACTION est l'un des éléments suivants :
    • allow : autorise les connexions correspondant à la règle.
    • deny : refuse les connexions correspondant à la règle.
    • goto_next : transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
  • PROTOCOL_PORT : liste de protocoles de destination séparés par une virgule (tcp, udp, icmp, esp, ah, sctp), de protocoles et de ports (tcp:80) ou de protocoles et de plages de ports (tcp:5000-6000).
    Vous ne pouvez pas spécifier de port ou de plage de ports sans protocole. Pour icmp, vous ne pouvez pas spécifier de port ou de plage de ports. Par exemple 
    --layer4-configs tcp:80, tcp:443, udp:4000-5000, icmp
  • IP_RANGES : liste de plages d'adresses IP au format CIDR séparées par une virgule. Par exemple :
    --src-ip-ranges 10.100.0.1/32, 10.200.0.0/24

Associer une stratégie à l'organisation ou au dossier

Associez une stratégie à un nœud pour activer les règles de la stratégie pour toutes les VM situées sous le nœud de la hiérarchie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant votre stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associée à.

  5. Cliquez sur Associer.

  6. Sélectionnez l'organisation racine ou sélectionnez des dossiers au sein de celle-ci.

  7. Cliquez sur Associer.

gcloud

gcloud beta compute org-security-policies associations create \
    --security-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

Remplacez l'élément suivant :

  • POLICY_NAME : nom à afficher ou nom généré par le système pour la stratégie.
  • ORG_ID : ID de votre organisation.
  • FOLDER_ID : si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie à l'organisation.
  • ASSOCIATION_NAME : nom facultatif pour l'association. S'il n'est pas spécifié, le nom est défini sur "organisation ORG_ID" ou "dossier FOLDER_ID".
  • --replace-association-on-target
    Par défaut, si vous essayez d'insérer une association à un nœud d'organisation ou de dossier déjà associé, la méthode échoue. Si vous spécifiez cette option, l'association existante est supprimée au moment où la nouvelle association est créée. Cela permet d'éviter que le nœud se retrouve sans stratégie pendant la transition.

Déplacer une stratégie d'un nœud à un autre

Le déplacement d'une stratégie a pour effet de modifier le nœud propriétaire de la stratégie. Pour déplacer une stratégie, vous devez disposer des autorisations move sur l'ancien et le nouveau nœud.

Le déplacement d'une stratégie n'a aucune incidence sur les associations de stratégies existantes ou sur l'évaluation des règles existantes, mais il peut affecter les utilisateurs autorisés à modifier ou à associer la stratégie après le déplacement.

Console

Utilisez la commande gcloud pour cette procédure.

gcloud

gcloud beta compute org-security-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

Remplacez l'élément suivant :

  • POLICY_NAME : nom à afficher ou nom généré par le système pour la stratégie que vous déplacez.
  • ORG_ID : ID de votre organisation. Spécifiez cet ID seulement si vous déplacez la stratégie vers le nœud de l'organisation (ne spécifiez pas de dossier).
  • FOLDER_ID : si vous associez la stratégie à un dossier, spécifiez-le ici. Vous pouvez omettre cette option si vous associez la stratégie au nœud de l'organisation.

Mettre à jour la description d'une stratégie

Seul le champ Description peut être mis à jour pour la stratégie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur Modifier.

  4. Modifiez la description.

  5. Cliquez sur Enregistrer.

gcloud

gcloud beta compute org-security-policies list-rules POLICY_NAME \
    --organization ORG_ID

Répertorier les stratégies

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

    La section Stratégies de pare-feu associées à ce nœud ou dont ce nœud a hérité affiche les stratégies associées à ce nœud dans votre hiérarchie de ressources.

    La section Stratégies de pare-feu situées dans ce nœud répertorie les stratégies appartenant à ce nœud dans la hiérarchie des ressources. Il se peut que ces stratégies ne soient pas associées à ce nœud, mais elles peuvent être associées à ce nœud ou à d'autres nœuds.

gcloud

gcloud beta compute org-security-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

Décrire une stratégie

Vous pouvez afficher tous les détails d'une stratégie, y compris toutes ses règles de pare-feu. De plus, de nombreux attributs figurent dans toutes les règles de la stratégie. Ces attributs sont comptabilisés dans une limite définie par stratégie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

gcloud

gcloud beta compute org-security-policies describe POLICY_NAME \
    --organization ORG_ID

Supprimer une stratégie

Vous devez supprimer toutes les associations d'une stratégie de pare-feu d'organisation avant de pouvoir la supprimer.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie que vous souhaitez supprimer.

  4. Cliquez sur l'onglet Associée à.

  5. Sélectionnez toutes les associations.

  6. Cliquez sur Supprimer.

  7. Une fois toutes les associations supprimées, cliquez sur Supprimer.

gcloud

  1. Répertoriez tous les nœuds associés à une stratégie de pare-feu :

    gcloud beta compute org-security-policies describe
        --security-policy POLICY_NAME \
        --organization ORG_ID
    
  2. Supprimez les associations individuelles. Pour supprimer l'association, vous devez disposer du rôle compute.orgSecurityResourceAdmin sur le nœud associé ou l'ancêtre de ce nœud.

    gcloud beta compute org-security-policies associations delete NODE_NAME \
        --organization ORG_ID \
        --security-policy POLICY_NAME
    
  3. Supprimez la stratégie :

    gcloud beta compute org-security-policies delete POLICY_NAME \
        --organization ORG_ID
    

Répertorier les associations pour un nœud

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Les stratégies associées et héritées sont répertoriées sous Stratégies de pare-feu associées à ce nœud ou dont ce nœud a hérité.

gcloud

gcloud beta compute org-security-policies associations list \
  [--organization ORG_ID | --folder FOLDER_ID]

Répertorier des associations pour une stratégie

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associations.

  5. Les associations sont répertoriées dans le tableau.

gcloud

gcloud beta compute org-security-policies describe POLICY_ID

Supprimer une association

Pour arrêter l'application d'une stratégie de sécurité sur l'organisation ou un dossier, supprimez l'association.

Toutefois, si vous souhaitez remplacer une stratégie de sécurité par une autre, il n'est pas nécessaire de supprimer d'abord l'association existante, car il y aurait alors une période pendant laquelle aucune stratégie n'est appliquée. Au lieu de cela, remplacez la stratégie existante lorsque vous associez une nouvelle stratégie.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associations.

  5. Sélectionnez l'association que vous souhaitez supprimer.

  6. Cliquez sur Supprimer.

gcloud

gcloud beta compute org-security-policies associations delete ASSOCIATION_NAME \
    --security-policy POLICY_NAME \
    --organization ORG_ID

Tâches liées aux règles

Créer une règle dans une stratégie de pare-feu existante

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur Ajouter une règle.

  5. Renseignez les champs de la règle :

    1. Priorité : ordre d'évaluation numérique de la règle. Une règle de priorité 1 est évaluée en premier. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
    2. Définissez la collecte de journaux sur Activée ou Désactivée.
    3. Sous Sens du trafic, indiquez si cette règle est une règle d'entrée ou de sortie.
    4. Sous Action en cas de correspondance, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser), ou si l'évaluation de la connexion est transmise à la règle de pare-feu inférieure suivante de la hiérarchie (Déléguer au niveau suivant).
    5. Facultatif : vous pouvez limiter la règle à certains réseaux seulement en les spécifiant dans le champ Réseau cible.
    6. Facultatif : vous pouvez limiter la règle aux VM exécutées en tant que comptes de service spécifiés en indiquant les comptes de service dans le champ Compte de service cible.
    7. Si vous créez une règle d'entrée, spécifiez les plages d'adresses IP sources auxquelles cette règle s'applique. Si vous créez une règle de sortie, spécifiez les plages d'adresses IP de destination auxquelles cette règle s'applique. Dans les deux cas, spécifiez 0.0.0.0/0 pour tous.
    8. Sous Protocoles et ports, indiquez que la règle s'applique à tous les protocoles et ports, ou précisez les protocoles et ports auxquels elle s'applique.
  6. Cliquez sur Créer.

gcloud

gcloud beta compute org-security-policies rules create PRIORITY \
    --organization ORG_ID \
    --security-policy POLICY_NAME \
    [--description DESCRIPTION \
    [--action ACTION] \
    [--dest-ip-ranges DEST_RANGES] \
    [--layer4-configs PROTOCOL_PORT] \
    [--direction DIRECTION] \
    [--disabled] \
    [--src-ip-ranges SRC_RANGES] \
    [--target-resources NETWORKS] \
    [--target-service-accounts SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging]

Remplacez l'élément suivant :

  • PRIORITY : ordre d'évaluation numérique de la règle
    Une règle dont la priorité est 1 est évaluée en premier. Les priorités doivent être uniques pour chaque règle. Une bonne pratique consiste à attribuer aux règles des numéros de priorité qui permettront l'insertion ultérieure (par exemple, 100, 200, 300).
  • ORG_ID : ID de votre organisation.
  • POLICY_NAME : nom de la stratégie qui contient la règle.
  • DESCRIPTION : description textuelle de la règle.
  • ACTION est l'un des éléments suivants :
    • allow : autorise les connexions correspondant à la règle.
    • deny : refuse les connexions correspondant à la règle.
    • goto_next : transmet l'évaluation de la connexion au niveau supérieur de la hiérarchie, soit un dossier, soit le réseau.
  • DEST_RANGES : pour les règles egress uniquement, liste de plages d'adresses IP au format CIDR séparées par une virgule indiquant les adresses IP cibles concernées par la règle. Par exemple :
    --dest-ip-ranges 10.100.0.1/32, 10.200.0.0/24
  • PROTOCOL_PORT : liste des protocoles de destination séparés par une virgule (tcp, udp, icmp, esp, ah, sctp), des protocoles et des ports (tcp:80), ou des protocoles et des plages de ports (tcp:5000-6000)
    TCP et UDP doivent inclure un port ou une plage de ports. Vous ne pouvez pas spécifier de port ou de plage de ports sans protocole. Pour icmp, vous ne pouvez pas spécifier de port ou de plage de ports. Par exemple 
    --layer4-configs tcp:80, tcp:443, udp:4000-5000, icmp
  • DIRECTION : indique si la règle est une règle ingress ou egress. La règle par défaut est ingress.
    Les plages de destination ne sont disponibles que pour les connexions egress. Les plages sources ne sont disponibles que pour les connexions ingress.
  • --disabled : indique que la règle de pare-feu, bien qu'elle existe, ne doit pas être prise en compte lors du traitement des connexions. La suppression de cette option a pour effet d'activer la règle. Vous pouvez également spécifier --no-disabled.
  • SRC_RANGES : pour les règles ingress uniquement, liste de plages d'adresses IP au format CIDR séparées par une virgule indiquant les adresses IP sources concernées par la règle. Par exemple :
    --src-ip-ranges 10.100.0.1/32, 10.200.0.0/24
  • NETWORKS : liste de réseaux séparés par une virgule auxquels cette règle est appliquée. Si vous omettez cette option, la règle s'applique à tous les réseaux du nœud.
  • SERVICE_ACCOUNTS : liste de comptes de service séparés par une virgule. La règle n'est appliquée qu'aux VM de ce compte de service.
  • --enable-logging et --no-enable-logging : activent ou désactivent la journalisation des règles de pare-feu pour la règle donnée.

Répertorier toutes les règles d'une stratégie

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie. Les règles sont répertoriées dans l'onglet Règles de pare-feu.

gcloud

gcloud beta compute org-security-policies list-rules POLICY_NAME \
    --organization ORG_ID

Décrire une règle

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur la priorité de la règle.

gcloud

gcloud beta compute org-security-policies rules describe PRIORITY \
    --organization ORG_ID \
    --security-policy POLICY_NAME

Remplacez l'élément suivant :

  • PRIORITY : priorité de la règle que vous souhaitez afficher. Comme chaque règle doit avoir une priorité unique, ce paramètre identifie une règle de manière unique.
  • ORG_ID : ID de votre organisation.
  • POLICY_NAME : nom à afficher ou nom généré par le système pour la stratégie contenant la règle.

Mettre à jour une règle

Pour obtenir une description des champs, consultez la page Créer des règles de pare-feu.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Cliquez sur la priorité de la règle.

  5. Cliquez sur Modifier.

  6. Modifiez les champs comme souhaité.

  7. Cliquez sur Enregistrer.

gcloud

gcloud beta compute org-security-policies rules update RULE_NAME \
    --security-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

Copier des règles d'une stratégie à une autre

Supprimez toutes les règles de la stratégie cible et remplacez-les par les règles de la stratégie source.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie dont vous souhaitez copier les règles.

  4. Cliquez sur Cloner en haut de l'écran.

  5. Indiquez le nom d'une stratégie cible.

  6. Cliquez sur Continuer > Associer si vous souhaitez associer la nouvelle stratégie immédiatement.

  7. Cliquez sur Cloner.

gcloud

gcloud beta compute org-security-policies copy-rules POLICY_NAME \
    --organization ORG_ID \
    --source-security-policy SOURCE_POLICY

Remplacez l'élément suivant :

  • POLICY_NAME : stratégie destinée à recevoir les règles copiées.
  • ORG_ID : ID de votre organisation.
  • SOURCE_POLICY : stratégie à partir de laquelle les règles seront copiées (doit être l'URL de la ressource).

Supprimer une règle d'une stratégie

Le fait de supprimer une règle d'une stratégie entraîne la suppression de cette règle de toutes les VM qui héritent de la règle.

Console

  1. Dans Google Cloud Console, accédez à la page Pare-feu.

    Accéder à la page Pare-feu

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez l'ID de votre organisation ou le dossier contenant la stratégie.

  3. Cliquez sur la stratégie.

  4. Sélectionnez la règle que vous souhaitez supprimer.

  5. Cliquez sur Supprimer.

gcloud

gcloud beta compute org-security-policies rules delete PRIORITY \
    --organization ORG_ID \
    --security-policy POLICY_NAME

Remplacez l'élément suivant :

  • PRIORITY : priorité de la règle que vous souhaitez supprimer de la stratégie.
  • ORG_ID : ID de votre organisation.
  • POLICY_NAME : stratégie qui contient la règle.

Obtenir des règles de pare-feu efficaces pour un réseau

Cela permet d'afficher toutes les règles des stratégies de pare-feu hiérarchiques et les règles de pare-feu VPC appliquées à un réseau VPC spécifié.

Console

Utilisez la commande gcloud pour cette procédure.

gcloud

gcloud beta compute networks get-effective-firewalls NETWORK_NAME

Remplacez l'élément suivant :

  • NETWORK_NAME : réseau pour lequel vous souhaitez obtenir des règles efficaces.

Obtenir des règles de pare-feu efficaces pour une interface de VM

Cela permet d'afficher toutes les règles des stratégies de pare-feu hiérarchiques et les règles de pare-feu VPC appliquées à une interface de VM Compute Engine spécifiée.

Console

  1. Dans Google Cloud Console, accédez à la page "Instances de VM".

    Accéder à la page Instances de VM

  2. Dans le menu déroulant permettant de sélectionner le projet, sélectionnez le projet contenant la VM.

  3. Cliquez sur la VM.

  4. Sous Interfaces réseau, cliquez sur l'interface.

  5. Les règles de pare-feu efficaces apparaissent sous Détails des pare-feu et des routes.

gcloud

gcloud beta compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE \
    [--zone ZONE]

Remplacez l'élément suivant :

  • INSTANCE_NAME : VM pour laquelle vous souhaitez obtenir des règles efficaces. Si aucune interface n'est spécifiée, les règles correspondant à l'interface principale s'affichent (nic0).
  • INTERFACE : interface de VM pour laquelle vous souhaitez obtenir des règles efficaces. La valeur par défaut est nic0.
  • ZONE : zone de la VM. Cette option est facultative si la zone souhaitée est déjà définie comme valeur par défaut.

Étapes suivantes