Un grupo de direcciones contiene varias direcciones IP, intervalos de direcciones IP en formato CIDR o ambos. Cada grupo de direcciones puede utilizarse en varios recursos, como reglas de políticas de cortafuegos de Cloud NGFW o reglas de políticas de seguridad de Cloud Armor.
Los cambios que se hagan en un grupo de direcciones se propagarán automáticamente a los recursos que hagan referencia a ese grupo. Por ejemplo, puedes crear un grupo de direcciones que contenga un conjunto de direcciones IP de confianza. Para cambiar el conjunto de direcciones IP de confianza, actualiza el grupo de direcciones. Los cambios que hagas en el grupo de direcciones se reflejarán automáticamente en cada recurso asociado.
Especificaciones
Los recursos de grupos de direcciones tienen las siguientes características:
- Cada grupo de direcciones se identifica de forma única mediante una URL con los siguientes elementos:
- Tipo de contenedor: determina el tipo de grupo de direcciones (
organizationoproject). - ID de contenedor: ID de la organización o del proyecto.
- Ubicación: especifica si el grupo de direcciones es un recurso
globalo regional (comoeurope-west). - Nombre: nombre del grupo de direcciones con el siguiente formato:
- Una cadena de entre 1 y 63 caracteres
- Incluye solo caracteres alfanuméricos
- No puede empezar por un número
- Tipo de contenedor: determina el tipo de grupo de direcciones (
Puede crear un identificador de URL único para un grupo de direcciones con el siguiente formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Por ejemplo, un
globalgrupo de direccionesexample-address-groupdel proyectomyprojecttiene el siguiente identificador único de 4 tuplas:projects/myproject/locations/global/addressGroups/example-address-groupCada grupo de direcciones tiene un tipo asociado que puede ser IPv4 o IPv6, pero no ambos. El tipo de grupo de direcciones no se puede cambiar más adelante.
Cada dirección IP o intervalo de direcciones IP de un grupo de direcciones se denomina elemento. El número de elementos que puedes añadir a un grupo de direcciones depende de la capacidad del grupo. Puede definir la capacidad de los elementos durante la creación del grupo de direcciones. Esta capacidad no se puede cambiar más adelante. La capacidad máxima que puede configurar para un grupo de direcciones varía en función del producto con el que utilice el grupo de direcciones.
Debe especificar la capacidad y el tipo al crear un grupo de direcciones. Además, cuando uses Cloud Armor, debes definir el campo
purposeenCLOUD_ARMOR.Cuando creas un grupo de direcciones con un propósito que no
CLOUD_ARMOR, el grupo de direcciones tiene una capacidad máxima de 1000 direcciones IP.
Tipos de grupos de direcciones
Los grupos de direcciones se clasifican según su ámbito. El ámbito identifica el nivel en el que se puede aplicar el grupo de direcciones en la jerarquía de recursos. Los grupos de direcciones se clasifican en los siguientes tipos:
Un grupo de direcciones puede tener un ámbito de proyecto o de organización, pero no ambos.
Grupos de direcciones para el ámbito de proyectos
Utiliza grupos de direcciones de ámbito de proyecto cuando quieras definir tu propia lista de direcciones IP que se usará en un proyecto o una red para bloquear o permitir una lista de direcciones IP cambiantes. Por ejemplo, si quiere definir su propia lista de inteligencia de amenazas y añadirla a una regla, cree un grupo de direcciones con las direcciones IP necesarias.
El tipo de contenedor de los grupos de direcciones de ámbito de proyecto siempre esproject. Para obtener más información sobre cómo crear y modificar grupos de direcciones de ámbito de proyecto, consulte el artículo Usar grupos de direcciones de ámbito de proyecto.
Grupos de direcciones en el ámbito de organizaciones
Usa grupos de direcciones con ámbito de organización cuando quieras definir una lista central de direcciones IP que se pueda usar en reglas de alto nivel para proporcionar un control coherente en toda la organización y reducir la carga de trabajo de los propietarios de redes y proyectos para mantener listas comunes, como servicios de confianza y direcciones IP internas.El tipo de contenedor de los grupos de direcciones con ámbito de organización siempre es organization. Para obtener más información sobre cómo crear y modificar grupos de direcciones de ámbito de organización, consulte el artículo Usar grupos de direcciones de ámbito de organización.
Roles de gestión de identidades y accesos
Para crear y gestionar un grupo de direcciones, necesitas el rol Administrador de red de Compute (roles/compute.networkAdmin). También puedes definir un rol personalizado con un conjunto de permisos equivalente.
En la siguiente tabla se incluye una lista de los permisos de gestión de identidades y accesos (IAM) necesarios para realizar un conjunto de tareas en grupos de direcciones.
| Tarea | Nombre del rol de gestión de identidades y accesos | Permisos de gestión de identidades y accesos |
|---|---|---|
| Crear y gestionar grupos de direcciones |
Administrador de red de Compute |
networksecurity.addressGroups.* |
| Descubrir y ver |
Usuario de red de Compute |
networksecurity.addressGroups.list networksecurity.addressGroups.get networksecurity.addressGroups.use |
Para obtener más información sobre los roles que incluyen permisos de gestión de identidades y accesos específicos, consulta el índice de roles y permisos de gestión de identidades y accesos.
Cómo funcionan los grupos de direcciones con las políticas de cortafuegos
Los grupos de direcciones simplifican la configuración y el mantenimiento de las políticas de cortafuegos. Puedes compartir las direcciones IP entre las políticas de cortafuegos y definir políticas de cortafuegos más complejas, coherentes y sólidas para tu red con una sobrecarga de mantenimiento reducida. Ten en cuenta las siguientes especificaciones adicionales cuando uses grupos de direcciones con políticas de cortafuegos:
La capacidad de un grupo de direcciones se añade al recuento total de atributos de la política de firewall en la que se utiliza el grupo de direcciones. Asegúrate de definir la capacidad con un valor adecuado en función de tu caso práctico.
Si no existe un grupo de direcciones añadido a la regla de la política de cortafuegos, el filtro del grupo de direcciones se elimina de la regla. Para obtener más información sobre cómo añadir grupos de direcciones de origen o de destino a las reglas de políticas de cortafuegos, consulta las secciones Orígenes y Destinos.
Los grupos de direcciones de ámbito de organización se pueden usar en políticas de cortafuegos jerárquicas, políticas de cortafuegos de red globales y políticas de cortafuegos de red regionales. Los grupos de direcciones de ámbito de proyecto solo se pueden usar en políticas de cortafuegos de red globales y regionales.
En el caso de los grupos de direcciones con ámbito de proyecto y de organización, la ubicación del grupo de direcciones debe coincidir con la de la política de cortafuegos.