このガイドでは、Google Cloud Armor Enterprise を使用する手順について説明します。このプロダクトの詳細については、Cloud Armor Enterprise の概要をご覧ください。
必要な IAM 権限
請求先アカウントを Cloud Armor Enterprise に登録する場合や、サブスクリプションの自動更新設定を変更する場合は、その請求先アカウントに対して Identity and Access Management(IAM)権限 billing.accounts.update を持っている必要があります。
Cloud Armor Enterprise サブスクリプションにプロジェクトを登録するには、Cloud Armor Enterprise に登録するために選択したプロジェクトに対する次の IAM 権限を付与されている必要があります。
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.updatecompute.projects.setCloudArmorTier
課金権限の詳細については、Cloud Billing アクセス制御の概要をご覧ください。
Cloud Armor Enterprise Annual に登録する
Cloud Armor Enterprise Annual に登録して現在のプロジェクトを登録する手順は次のとおりです。
コンソール
Cloud Armor Enterprise Annual に登録する
Google Cloud コンソールで、[Cloud Armor サービスティア] ページに移動します。サブスクリプションが有効な場合、請求先アカウントはすでに登録されています。
[Cloud Armor Enterprise Annual] ペインで [サブスクライブと登録] をクリックします。確認ダイアログが表示されます。
プロジェクトを Cloud Armor Enterprise に登録する
プロジェクトを Cloud Armor Enterprise Annual または Paygo に登録する手順は次のとおりです。プロジェクトがすでに登録されている場合は、新しい登録ティアに登録することで登録ティアを変更できます。たとえば、プロジェクトが Cloud Armor Enterprise Annual に登録されている場合は、Cloud Armor Enterprise Paygo に登録することで登録ティアを変更できます。
コンソール
プロジェクトを Cloud Armor Enterprise Annual に登録する
Google Cloud コンソールで、[Cloud Armor サービスティア] ページに移動します。
[Cloud Armor Enterprise Annual] ペインで [登録] をクリックします。
プロジェクトを Cloud Armor Enterprise Paygo に登録する
Google Cloud コンソールで、[Cloud Armor サービスティア] ページに移動します。
[Cloud Armor Enterprise Paygo] ペインで、[登録] をクリックします。
gcloud
プロジェクトを Cloud Armor Enterprise Annual に登録する
Cloud Armor Enterprise Annual にプロジェクトを登録するには、次のコマンドを使用します。
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_ANNUAL
プロジェクトを Cloud Armor Enterprise Paygo に登録する
Cloud Armor Enterprise Paygo にプロジェクトを登録するには、次のコマンドを使用します。
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Cloud Armor Enterprise からプロジェクトを削除する
Cloud Armor Enterprise からプロジェクトを削除する前に、Cloud Armor Enterprise からのダウングレードについて理解しておくことをおすすめします。Cloud Armor Enterprise からプロジェクトを登録解除すると、変更が有効になるまでに最大 12 時間かかる場合があります。この間に、他のプロジェクトの登録解除(または登録)を続行できます。
Cloud Armor Enterprise からプロジェクトの登録を解除する手順は次のとおりです。
コンソール
Cloud Armor Enterprise Annual からプロジェクトを登録解除する
Google Cloud コンソールで、[Cloud Armor サービスティア] ページに移動します。
[Standard] ペインで [登録] をクリックします。
Cloud Armor Enterprise Paygo からプロジェクトを登録解除する
Google Cloud コンソールで、[Cloud Armor サービスティア] ページに移動します。
[Standard] ペインで [登録] をクリックします。
gcloud
Cloud Armor Enterprise Annual からプロジェクトを登録解除する
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Cloud Armor Enterprise Paygo からプロジェクトを登録解除する
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
登録情報を表示する
Cloud Armor Enterprise の現在の登録ティアや登録対象のリソース数を確認するには、以下のセクションを使用します。
Cloud Armor Enterprise の現在の登録ティアを表示する
Cloud Armor Enterprise の現在の登録ティアを表示する手順は次のとおりです。
コンソール
Google Cloud コンソールで、[Cloud Armor サービスティア] ページに移動します。
Cloud Armor Enterprise Annual や Cloud Armor Enterprise Paygo など、利用可能な Cloud Armor Enterprise サービスティアが表示されます。Cloud Armor Enterprise の現在の登録ティアがハイライト表示され、[プロジェクト] フィールドに「登録済み」というステータスが表示されます。
gcloud
Cloud Armor Enterprise の現在の登録ティアを表示するには、次の gcloud コマンドを使用します。
gcloud compute project-info describe
登録の対象となるバックエンド サービスとバックエンド バケットの数を表示する
Cloud Armor Enterprise に登録されている各プロジェクトの場合は、[Cloud Armor Enterprise] ページに、登録対象のバックエンド サービスとバックエンド バケットの数が表示されます。表示される数は、登録対象のバックエンド サービスとバックエンド バケットの合計数です。
プロジェクトがデフォルトのティアである Cloud Armor Enterprise Standard に登録されている場合、このカウントは表示されません。
Cloud Armor Enterprise Annual から請求先アカウントのサブスクリプション登録を解除する
Cloud Armor Enterprise Annual のサブスクリプションは 1 年契約であり、自動的に更新されます。1 年間の契約期間の終了時に更新が行われないようにするには、自動更新を無効にする必要があります。自動更新を無効にすると、現在の 1 年間の定期購入期間は終了まで継続されます。サブスクリプション期間の終了時に、Cloud Armor Enterprise のサブスクリプションは更新されません。プロジェクトに有効な階層型セキュリティ ポリシーがある場合、プロジェクトは Cloud Armor Enterprise Paygo にダウングレードされます。登録されていない場合、Cloud Armor Enterprise Annual に登録されている請求先アカウント内のすべてのプロジェクトは Cloud Armor Enterprise Standard に戻ります。
Cloud Armor Enterprise Annual の自動更新をキャンセルする手順は次のとおりです。
コンソール
サブスクリプションの請求先アカウントにログインし、Google Cloud コンソールで [Cloud Armor サービスティア] ページに移動します。
[自動更新(オフ)] をクリックします。これで、現在のサブスクリプションの有効期限が切れたときに Cloud Armor Enterprise のサブスクリプションは更新されません。その時点で Cloud Armor Enterprise に登録されていたプロジェクトは登録解除されます。Cloud Armor Enterprise Standard で提供される DDoS 対策は引き続き適用されます。
DDoS 対応サポートケースを開く
DDoS 対応サポートを利用するには、Google Cloud コンソールでサポートケースを作成します。資格要件を満たしている場合は、Google Cloud Armor DDoS の対応チームにケースがエスカレーションされ、サポート、トリアージ、緩和策の提案が行われます。
DDoS 対応サポートケースを開くには、DDoS ケースのサポートを受けるをご覧ください。
DDoS 請求対策に関するエンゲージメント
DDoS 請求対策に関する申し立てを行うには、プロジェクトが Cloud Armor Enterprise Annual に登録されている必要があります。また、次の情報を用意する必要があります。
- 対象プロジェクトに関連付けられた請求先アカウント。
- 対象リソースを含むプロジェクトのプロジェクト番号。
- 対象リソースのインターネット IP アドレス。
- 攻撃の開始時刻。
- 攻撃の終了時刻。
- 影響を受けたサービスの通常のトラフィック量。
- 影響を受けたサービスに対する攻撃量。
チャットを開始できます。また、 Google Cloud コンソールからお支払いサポートにお問い合わせいただくこともできます。Cloud Billing サポートへの問い合わせ方法については、Cloud Billing サポートへのお問い合わせ方法をご覧ください。
プロジェクト間の参照の要件
プロジェクト間のサービス参照を使用して Cloud Armor Enterprise の料金設定を活用するには、フロントエンドとバックエンドの両方のサービス プロジェクトを Cloud Armor Enterprise Annual に登録する必要があります。
対象攻撃
外部パススルー ネットワーク ロードバランサ、プロトコル転送、パブリック IP アドレス(VM)に対する攻撃が「対象攻撃」(Google Cloud Armor の利用規約を参照)とみなされるのは、攻撃対象のエンドポイントが存在するリージョンで、高度な DDoS 保護が攻撃の開始時点で有効になっている場合のみです。
Google Threat Intelligence を使用する
Google Threat Intelligence を使用するには、一致式 evaluateThreatIntelligence を使用してセキュリティ ポリシーを構成し、許可またはブロックするカテゴリに基づいてフィード名を指定します。Google Threat Intelligence で IP アドレスが誤ってブロックされる場合は、その IP アドレスを除外リストに追加することでトラフィックを許可できます。
Cloud Armor Enterprise のトラブルシューティング
このセクションでは、Cloud Armor Enterprise に関する問題の解決に役立つ情報を提供します。
Cloud Armor Enterprise Annual に登録した後も従量課金制で請求が行われている
Cloud Armor Enterprise に登録した後も従量課金制で請求が行われている場合は、プロジェクトが Cloud Armor Enterprise に登録されているかどうかを確認してください。
Subscribe ボタンが使用できない
[Subscribe] ボタンを使用できないために Cloud Armor Enterprise Annual に登録できない場合は、次のようにします。
- 登録を行っているユーザーに十分な IAM 権限が付与されていることを確認します。
- 請求先アカウント レベルで登録を行うため、
billing.accounts.update権限が必要です。 - ティアでプロジェクトの登録または登録解除を行うため、
resourcemanager.projects.createBillingAssignmentとresourcemanager.projects.updateの権限が必要です。
- 請求先アカウント レベルで登録を行うため、
Google Cloud Armor Enterprise Annual の定期購入を解約したが、Paygo に自動的に登録された
プロジェクトに有効な階層型セキュリティ ポリシーがあるときに Google Cloud Armor Enterprise Annual から請求先アカウントのサブスクリプション登録を解除すると、プロジェクトは Cloud Armor Enterprise Paygo にダウングレードされます。これは、階層型セキュリティ ポリシーには有効な Google Cloud Armor Enterprise の登録が必要であるためです。従量課金制の登録を解除するには、まず階層型セキュリティ ポリシーを削除する必要があります。
プロジェクトが Cloud Armor Enterprise に自動的に登録された
階層型セキュリティ ポリシーの対象となるプロジェクトは、対象となる最も高い Cloud Armor Enterprise ティアに自動的に登録されます。詳細については、Google Cloud Armor Enterprise の登録と課金の動作をご覧ください。
請求が一致しない
これらのトラブルシューティングのヒントを試しても問題が解決しない場合は、Google Cloud Billing サポートチームにお問い合わせください。