階層型ファイアウォール ポリシーの使用

このページは、階層型ファイアウォール ポリシーの概要で説明されているコンセプトを理解していることを前提としています。階層型ファイアウォール ポリシーの実装例については、階層型ファイアウォール ポリシーの例をご覧ください。

制限事項

  • 階層型ファイアウォール ポリシーのルールでは、上り(内向き)ルールのソースを定義するのに、IP 範囲のみが使用できます。ソースタグとソースサービス アカウントは、VPC ファイアウォール ルールでのみサポートされます。
  • 階層型ファイアウォール ポリシーのルールでは、ターゲットの定義にネットワーク タグを使用することはサポートされていません。代わりに、ターゲット VPC ネットワークまたはターゲット サービス アカウントを使用する必要があります。
  • ファイアウォール ポリシーは、フォルダレベルと組織レベルで適用されますが、VPC ネットワーク レベルでは適用されません。通常の VPC ファイアウォール ルールは VPC ネットワークでサポートされています。
  • ノード(フォルダまたは組織)に関連付けることができるファイアウォール ポリシーは 1 つだけですが、フォルダの下の仮想マシン(VM)インスタンスは VM を越えてノードの階層全体からルールを継承できます。
  • ファイアウォール ルールのロギングは、allow ルールと deny ルールではサポートされますが、goto_next ルールではサポートされません。
  • IPv6 ホップバイホップ プロトコルはファイアウォール ルールでサポートされていません。

ファイアウォール ポリシーのタスク

ファイアウォール ポリシーの作成

ポリシーは、組織階層の任意のノード、組織、フォルダに作成できます。ポリシーを作成したら、組織内の任意のノードに関連付けることができます。関連付けが終わると、階層内の関連するノードにある VM に対してポリシーのルールがアクティブになります。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID または組織内のフォルダを選択します。

  3. [ファイアウォール ポリシーを作成] をクリックします。

  4. ポリシーに名前を付けます。

  5. ポリシーのルールを作成する場合は、[続行] をクリックしてから、[ルールを追加] をクリックします。

    詳細については、ファイアウォール ルールの作成をご覧ください。

  6. ポリシーをノードに関連付けるには、[続行] をクリックしてから [関連付け] をクリックします。

    詳細については、ポリシーを組織またはフォルダに関連付けるをご覧ください。

  7. [作成] をクリックします。

gcloud

gcloud compute firewall-policies create \
    [--organization ORG_ID] | --folder FOLDER_ID] \
    --short-name SHORT_NAME

以下を指定します。

  • ORG_ID: 組織の ID
    組織レベルでポリシーを作成する場合、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーが組織ノードに自動的に関連付けられることはありません。
  • FOLDER_ID: フォルダの ID
    特定のフォルダにポリシーを作成する場合は、この ID を指定します。この ID は、ポリシーが有効である場所のみを示しています。ポリシーがそのフォルダに自動的に関連付けられることはありません。
  • SHORT_NAME: ポリシーの名前
    gcloud コマンドライン ツールで作成したポリシーには 2 つの名前があります。1 つはシステム生成名、もう 1 つはユーザーが指定した略称です。gcloud コマンドライン ツールを使用して既存のポリシーを更新する場合は、システム生成の名前を使用するか、略称と組織 ID を指定します。API を使用してポリシーを更新する場合は、システムが生成した名前を指定する必要があります。

ファイアウォール ルールの作成

階層型ファイアウォール ポリシーのルールは、階層型ファイアウォール ポリシーに作成される必要があります。含まれるポリシーをノードに関連付けるまで、ルールは有効になりません。

IPv6 階層型ファイアウォール ルールは Google Cloud Console でサポートされていません。代わりに、gcloud コマンドライン ツールまたは API を使用してください。

各階層型ファイアウォール ポリシールールには、IPv4 または IPv6 の範囲のいずれかを含めることができます。両方を含めることはできません。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーの名前をクリックします。

  4. [ルールを追加] をクリックします。

  5. ルール フィールドに、次の内容を入力します。

    1. 優先度: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は 0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100200300 など)。
    2. ログの収集を [オン] または [オフ] に設定します。
    3. [トラフィックの方向] で、このルールが [上り(内向き)] ルールか [下り(外向き)] ルールかを指定します。
    4. [一致したときのアクション] で、ルールに一致した接続を許可する(許可)または拒否する(拒否)かどうか、または接続の評価を、階層内で次に低いファイアウォール ルールに渡すかどうかを指定します(次に移動)。
    5. (省略可)[Target network] フィールドにネットワークを指定し、特定のネットワークにルールを限定できます。
    6. (省略可)[ターゲット サービス アカウント] フィールドにアカウントを指定することで、特定のサービス アカウントに対するアクセス権で実行されている VM にルールを制限できます。
    7. 上り(内向き)ルールを作成する場合は、このルールが適用されるソース IP 範囲を指定します。下り(外向き)ルールを作成する場合は、このルールを適用する宛先 IP 範囲を指定します。どちらの場合も、すべての IP アドレスに 0.0.0.0/0 を指定します。
    8. [プロトコルとポート] で、すべてのプロトコルとポートにルールを適用することを指定するか、適用するプロトコルと宛先ポートを指定します。
    9. [作成] をクリックします。
  6. [ルールを追加] をクリックして別のルールを追加します。[続行] > [関連付け] をクリックしてポリシーをノードに関連付けるか、[作成] をクリックしてポリシーを作成します。

gcloud

gcloud compute firewall-policies rules create PRIORITY \
    [--organization ORG_ID] \
    --firewall-policy POLICY_NAME \
    [--direction DIRECTION] \
    [--src-ip-ranges IP_RANGES] \
    [--dest-ip-ranges IP_RANGES ] \
    --action ACTION \
    [--layer4-configs PROTOCOL_PORT] \
    [--target-resources=NETWORKS] \
    [--target-service-accounts=SERVICE_ACCOUNTS] \
    [--enable-logging | --no-enable-logging] \
    [--disabled]

以下を指定します。

  • PRIORITY: ルールの数値評価順序。ルールは、最も高い優先度から順番に評価されます(最も高い優先度は 0)。優先度はルールごとに一意である必要があります。後で挿入できるように、ルールの優先度の数値を指定することをおすすめします(100200300 など)。
  • ORG_ID: 組織の ID
  • POLICY_NAME: ポリシーの略称またはシステムによって生成された名前
  • DIRECTION: ルールが ingress ルールまたは egress ルールのどちらであるかを示します。デフォルトは ingress です。
    • DIRECTIONingress の場合、--src-ip-ranges を含めます。
    • DIRECTIONegress の場合、--dest-ip-ranges を含めます。
  • IP_RANGES: CIDR 形式の IP 範囲のカンマ区切りリスト(すべての IPv4 範囲またはすべての IPv6 範囲)。例:
    --src-ip-ranges=10.100.0.1/32,10.200.0.0/24
    --src-ip-ranges=2001:0db8:1562::/96,2001:0db8:1723::/96
  • ACTION: 次のいずれかのアクション。
    • allow: ルールに一致する接続を許可します。
    • deny: ルールに一致する接続を拒否します。
    • goto_next: 接続評価を階層内の次のレベル(フォルダまたはネットワーク)に渡します。
  • PROTOCOL_PORT: プロトコル名または番号(tcp,17)、プロトコルと宛先ポート(tcp:80)、プロトコルと宛先ポートの範囲(tcp:5000-6000)のカンマ区切りのリスト
    プロトコルのないポートまたはポート範囲は指定できません。icmp の場合、ポートまたはポート範囲を指定できません。例:
    --layer4-configs tcp:80,tcp:443,udp:4000-5000,icmp
    詳細については、プロトコルとポートをご覧ください。
  • NETWORKS: このルールが適用されるネットワークのカンマ区切りのリスト。省略した場合は、ルールはノードの下のすべてのネットワークに適用されます。詳細については、ターゲットをご覧ください。
  • SERVICE_ACCOUNTS: サービス アカウントのカンマ区切りのリスト。ルールは、指定したサービス アカウントに対するアクセス権で実行されている VM にのみ適用されます。詳細については、ターゲットをご覧ください。
  • --enable-logging--no-enable-logging: 指定されたルールに対してファイアウォール ルールロギングを有効または無効にします。
  • --disabled: ファイアウォール ルールが存在しても、接続の処理時に考慮されないファイアウォール ルールを示します。このフラグを省略すると、ルールが有効になります。または、--no-disabled を指定します。

ポリシーを組織またはフォルダに関連付ける

ポリシーをノードに関連付けると、階層内のノードの下にある VM のポリシールールをアクティブ化できます。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. [関連付け先] タブをクリックします。

  5. [関連付け] をクリックします。

  6. 組織のルートを選択するか、組織内のフォルダを選択します。

  7. [関連付け] をクリックします。

gcloud

gcloud compute firewall-policies associations create \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [ --folder FOLDER_ID ] \
    [ --name ASSOCIATION_NAME ] \
    [ --replace-association-on-target ]

以下を指定します。

  • POLICY_NAME: ポリシーの略称またはシステムによって生成された名前
  • ORG_ID: 組織の ID
  • FOLDER_ID: ポリシーをフォルダに関連付ける場合は、ここで指定します。ポリシーを組織レベルに関連付ける場合は省略します。
  • ASSOCIATION_NAME: 関連付けのオプションの名前。指定しない場合、名前は「organization ORG_ID」または「folder FOLDER_ID」に設定されます。
  • --replace-association-on-target
    デフォルトでは、すでに関連付けがある組織ノードまたはフォルダノードに関連付けを挿入しようとすると、そのメソッドは失敗します。このフラグを指定すると、新しい関連付けが作成されると同時に既存の関連付けが削除されます。これにより、移行時にポリシーのないノードが設定されることがなくなります。

ノード間でのポリシーの移動

ポリシーを移動すると、ポリシーを所有するノードが変更されます。ポリシーを移動するには、古いノードと新しいノードの両方に move 権限が必要です。

ポリシーを移動しても、既存のポリシーの関連付けや既存のルールの評価には影響しませんが、移動後にポリシーを変更または関連付けを行う権限を持つ人に影響する可能性があります。

Console

この手順では gcloud コマンドライン ツールを使用します。

gcloud

gcloud compute firewall-policies move POLICY_NAME \
    --organization ORG_ID \
    [--folder FOLDER_ID]

以下を指定します。

  • POLICY_NAME: 移動するポリシーの略称またはシステムによって生成された名前
  • ORG_ID: 組織の ID。ポリシーを組織ノードに移動する場合は、この ID を指定しますが、フォルダは指定しません。
  • FOLDER_ID: ポリシーをフォルダに関連付ける場合は、ここで指定します。ポリシーを組織ノードに関連付ける場合は省略します。

ポリシーの説明の更新

更新できるポリシー フィールドは [説明] フィールドのみです。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. [編集] をクリックします。

  4. [説明] を変更します。

  5. [保存] をクリックします。

gcloud

gcloud compute firewall-policies update POLICY_NAME \
    --description DESCRIPTION \
    --organization ORG_ID

ポリシーの一覧表示

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

    [このノードに関連付けられた、またはこのノードによって継承されたファイアウォール ポリシー] セクションに、リソース階層内のこのノードに関連付けられているポリシーが表示されます。

    [このノードにあるファイアウォール ポリシー] セクションには、リソース階層でこのノードによって所有されているポリシーが一覧表示されます。このようなポリシーは、このノードに関連付けられていない可能性がありますが、このノードや他のノードに関連付けることができます。

gcloud

gcloud compute firewall-policies list \
    [--organization ORG_ID | --folder FOLDER_ID]

ポリシーの説明

すべてのファイアウォール ルールを含む、ポリシーのすべての詳細を表示できます。また、ポリシー内のすべてのルールにある属性も確認できます。この属性は、ポリシーごとの上限としてカウントされます。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

gcloud

gcloud compute firewall-policies describe POLICY_NAME \
    --organization ORG_ID

ポリシーの削除

削除する前に、組織のファイアウォール ポリシーのすべての関連付けを削除する必要があります。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. 削除するポリシーをクリックします。

  4. [関連付け先] タブをクリックします。

  5. すべての関連付けを選択します。

  6. [削除] をクリックします。

  7. すべての関連付けを削除したら、[削除] をクリックします。

gcloud

  1. ファイアウォール ポリシーに関連するすべてのノードを一覧表示します。

    gcloud compute firewall-policies describe POLICY_NAME \
        --organization ORG_ID
    
  2. 個々の関連付けを削除します。関連付けを削除するには、関連するノードまたはそのノードの祖先に対する compute.orgSecurityResourceAdmin のロールが必要です。

    gcloud compute firewall-policies associations delete NODE_NAME \
        --organization ORG_ID \
        --firewall-policy POLICY_NAME
    
  3. ポリシーを削除します。

    gcloud compute firewall-policies delete POLICY_NAME \
        --organization ORG_ID
    

ノードの関連付けの一覧表示

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. 関連付けられているポリシーと継承されているポリシーは、[このノードに関連付けられた、またはこのノードによって継承されたファイアウォール ポリシー] に表示されます。

gcloud

gcloud compute firewall-policies associations list \
  [--organization ORG_ID | --folder FOLDER_ID]

ポリシーの関連付けの一覧表示

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. [関連付け] タブをクリックします。

  5. ポリシーの関連付けが一覧で表示されます。

gcloud

gcloud compute firewall-policies describe POLICY_ID

関連付けの削除

組織またはフォルダに対するファイアウォール ポリシーの適用を停止するには、関連付けを削除します。

ただし、あるセキュリティ ポリシーを別のファイアウォール ポリシーに入れ替える場合は、最初に既存の関連付けを削除する必要はありません。この操作を行うと、どちらのポリシーも適用されない期間が残ります。代わりに、新しいポリシーを関連付ける際は、既存のポリシーを置き換えます。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. [関連付け] タブをクリックします。

  5. 削除する関連付けを選択します。

  6. [削除] をクリックします。

gcloud

gcloud compute firewall-policies associations delete ASSOCIATION_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID

ルールのタスク

既存のファイアウォール ポリシー内のルールの作成

ファイアウォール ルールの作成をご覧ください。

ポリシー内のすべてのルールを一覧表示する

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。ルールが [ファイアウォール ルール] タブに表示されます。

gcloud

gcloud compute firewall-policies list-rules POLICY_NAME \
    --organization ORG_ID

ルールの説明

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. ルールの優先度をクリックします。

gcloud

gcloud compute firewall-policies rules describe PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

以下を指定します。

  • PRIORITY: 表示するルールの優先度。各ルールの優先度は異なるため、この設定はルールによって一意に識別されます
  • ORG_ID: 組織の ID
  • POLICY_NAME: ルールが含まれるポリシーの略称またはシステム生成名

ルールの更新

フィールドの説明については、ファイアウォール ルールの作成をご覧ください。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. ルールの優先度をクリックします。

  5. [編集] をクリックします。

  6. 変更対象のフィールドに修正を加えます。

  7. [保存] をクリックします。

gcloud

gcloud compute firewall-policies rules update RULE_NAME \
    --firewall-policy POLICY_NAME \
    --organization ORG_ID \
    [...fields you want to modify...]

ポリシー間のルールのクローン作成

ターゲット ポリシーからすべてのルールを削除し、ソースポリシーのルールで置き換えます。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ルールのコピー元ポリシーをクリックします。

  4. 画面の上部の [クローン] をクリックします。

  5. ターゲット ポリシーの名前を指定します。

  6. 新しいポリシーをすぐに関連付ける場合は、[続行] > [関連付け] をクリックします。

  7. [クローン] をクリックします。

gcloud

gcloud compute firewall-policies clone-rules POLICY_NAME \
    --organization ORG_ID \
    --source-firewall-policy SOURCE_POLICY

以下を指定します。

  • POLICY_NAME: コピーされたルールを受け取るポリシー
  • ORG_ID: 組織の ID
  • SOURCE_POLICY: ルールのコピー元のポリシー。リソースの URL で指定する必要があります

ポリシーからルールを削除する

ポリシーからルールを削除すると、そのルールを継承しているすべての VM からルールが削除されます。

Console

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、組織 ID またはポリシーを含むフォルダを選択します。

  3. ポリシーをクリックします。

  4. 削除するルールを選択します。

  5. [削除] をクリックします。

gcloud

gcloud compute firewall-policies rules delete PRIORITY \
    --organization ORG_ID \
    --firewall-policy POLICY_NAME

以下を指定します。

  • PRIORITY: ポリシーから削除するルールの優先度
  • ORG_ID: 組織の ID
  • POLICY_NAME: そのルールを含むポリシー

ネットワークで有効なファイアウォール ルールを取得する

指定した VPC ネットワークに適用されているすべての階層型ファイアウォール ポリシーのルールと VPC ファイアウォール ルールを表示します。

Console

[VPC ネットワーク] ページで VPC ネットワークに適用される階層型ファイアウォール ルールを表示する

  1. Google Cloud Console で、[VPC ネットワーク] ページに移動します。

    [VPC ネットワーク] ページに移動

  2. ファイアウォール ポリシー ルールを表示するネットワークをクリックします。

  3. [ファイアウォール ポリシー] をクリックします。

  4. ファイアウォール ポリシーを開いて、このネットワークに適用されるルールを表示します。

[ファイアウォール] ページで VPC ネットワークに適用される階層型ファイアウォール ルールを表示する

[ファイアウォール] ページで階層型ファイアウォール ルールを表示するには、compute.organizations.setSecurityPolicycompute.organizations.listAssociations 権限が必要です。

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] ページに移動

  2. ファイアウォール ポリシーは、[このプロジェクトによって継承されるファイアウォール ポリシー] セクションに表示されます。

  3. ファイアウォール ポリシーをクリックして、このネットワークに適用されるルールを表示します。

gcloud

gcloud compute networks get-effective-firewalls NETWORK_NAME

以下を指定します。

  • NETWORK_NAME: 有効なルールを取得する対象のネットワーク

VM インターフェースで有効なファイアウォール ルールを取得する

指定した Compute Engine VM インターフェースに適用されているすべての階層型ファイアウォール ポリシーのルールと VPC ファイアウォール ルールを表示します。

Console

  1. Google Cloud Console で、[VM インスタンス] ページに移動します。

    [VM インスタンス] ページに移動

  2. プロジェクト セレクタのプルダウン メニューで、VM を含むプロジェクトを選択します。

  3. VM をクリックします。

  4. [ネットワーク インターフェース] でインターフェースをクリックします。

  5. [ファイアウォールとルートの詳細] に有効なファイアウォール ルールが表示されます。

gcloud

gcloud compute instances network-interfaces get-effective-firewalls INSTANCE_NAME \
    [--network-interface INTERFACE \
    [--zone ZONE]

以下を指定します。

  • INSTANCE_NAME: 有効なルールを取得する対象の VM。インターフェースが指定されていない場合、プライマリ インターフェース(nic0)のルールが返されます。
  • INTERFACE: 有効なルールを取得する対象の VM インターフェース。デフォルトは nic0 です。
  • ZONE: VM のゾーン。対象のゾーンがすでにデフォルトとして設定されている場合は省略可能です。

トラブルシューティング

このセクションでは、表示される可能性があるエラー メッセージについて説明します。

FirewallPolicy で名前を指定することはできません。ポリシー名は用意されます。

ポリシー名を指定できません。階層型ファイアウォール ポリシーの名前は、ポリシーの作成時に Google Cloud によって生成される数値 ID です。ただし、わかりやすい略称を指定することもできます。これは、多くのコンテキストでエイリアスとして機能します。

FirewallPolicy の作成時に関連付けを指定できない場合があります。

関連付けは、階層のファイアウォール ポリシーの作成後にのみ作成できます。

ファイアウォール ポリシーを別の組織に移動できません。

階層型ファイアウォール ポリシーの移動は、同じ組織内で行われる必要があります。

接続にはすでに関連付けがあります。古い関連付けを置き換える場合は、既存の関連付けを true に切り替えるオプションを設定してください。

ノードがすでに階層型ファイアウォール ポリシーに接続されている場合、既存の関連付けを置き換えるオプションが true に設定されていない限り、接続のオペレーションは失敗します。

同じ優先度のルールを指定することはできません。

ルールの優先度は、階層型ファイアウォール ポリシー内で一意にする必要があります。

ファイアウォール ポリシー ルールで方向を指定する必要があります。

REST リクエストを直接送信して階層型ファイアウォール ポリシー ルールを作成する場合は、ルールの方向を指定する必要があります。gcloud コマンドライン ツールで方向を指定しなかった場合、デフォルトで INGRESS が使用されます。

goto_next ルールで enable_logging を指定することはできません。

goto_next アクションのルールでは、ファイアウォールのロギングは許可されません。goto_next アクションがファイアウォール ポリシーの評価順序を表すために使用され、「許可」や「拒否」などのターミナル アクションではないためです。

ファイアウォール ポリシールールで IP プロトコルを指定する必要があります。

ファイアウォール ポリシー ルール内の DestinationPort の構成では、TCP、UDP、ICMP などのプロトコルのフィールドを設定する必要があります。

下り(外向き)方向の src 範囲を指定しないでください。

下り(外向き)ルールに含めることができるのは宛先 IP 範囲のみです。

下り(外向き)方向の dest 範囲を指定する必要があります。

下り(外向き)ルールでは、ルールの宛先 IP 範囲を指定する必要があります。

上り(内向き)方向の dest 範囲を指定しないでください。

上り(内向き)ルールに含めることができるのは、ソース IP の範囲のみです。

上り(内向き)方向の src 範囲を指定する必要があります。

上り(内向き)ルールでは、ソース IP 範囲を指定する必要があります。ソースタグとソース サービス アカウントは、階層型ファイアウォール ポリシーではサポートされていません。

ファイアウォール ポリシー ルールのトラブルシューティングの詳細については、VPC ファイアウォール ルールのトラブルシューティングをご覧ください。

次のステップ