Questa pagina è stata tradotta dall'API Cloud Translation.

Gruppi di indirizzi per i criteri firewall

Un gruppo di indirizzi contiene più indirizzi IP, intervalli di indirizzi IP in formato CIDR o entrambi. Ogni gruppo di indirizzi può essere utilizzato da più risorse, ad esempio le regole nei criteri di firewall di Cloud NGFW o le regole nei criteri di sicurezza di Google Cloud Armor.

Gli aggiornamenti di un gruppo di indirizzi vengono propagati automaticamente alle risorse che fanno riferimento al gruppo di indirizzi. Ad esempio, puoi creare un gruppo di indirizzi contenente un insieme di indirizzi IP attendibili. Per modificare l'insieme di indirizzi IP attendibili, aggiorna il gruppo di indirizzi. Gli aggiornamenti al gruppo di indirizzi vengono riportati automaticamente in ogni risorsa associata.

Specifiche

Le risorse dei gruppi di indirizzi hanno le seguenti caratteristiche:

Ogni gruppo di indirizzi è identificato in modo univoco da un URL con i seguenti elementi:
- Tipo di contenitore: determina il tipo di gruppo di indirizzi: organization o project.
- ID contenitore:l'ID dell'organizzazione o del progetto.
- Posizione: specifica se il gruppo di indirizzi è una risorsa global o regionale (ad esempio europe-west).
- Nome: il nome del gruppo di indirizzi con il seguente formato:
  - Una stringa di 1-63 caratteri
  - Sono inclusi solo caratteri alfanumerici
  - Non può iniziare con un numero
Puoi creare un identificatore URL univoco per un gruppo di indirizzi nel seguente formato:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Ad esempio, un gruppo di indirizzi global example-address-group nel progetto myprojectha il seguente identificatore univoco di quattro tuple:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
A ogni gruppo di indirizzi è associato un tipo che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.
Ogni indirizzo IP o intervallo IP in un gruppo di indirizzi è definito elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla sua capacità. Puoi definire la capacità dell'articolo durante la creazione del gruppo di indirizzi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi varia a seconda del prodotto con cui utilizzi il gruppo di indirizzi.
Devi specificare la capacità e il tipo quando crei un gruppo di indirizzi. Inoltre, quando utilizzi Google Cloud Armor, devi impostare il campo purpose su CLOUD_ARMOR.
Quando crei un gruppo di indirizzi con uno scopo diverso da CLOUD_ARMOR, il gruppo di indirizzi ha una capacità massima di 1000 indirizzi IP.

Tipi di gruppi di indirizzi

I gruppi di indirizzi sono classificati in base al loro ambito. L'ambito identifica il livello a cui il gruppo di indirizzi è applicabile nella gerarchia delle risorse. I gruppi di indirizzi sono classificati nei seguenti tipi:

Gruppi di indirizzi basati sul progetto
Gruppi di indirizzi basati sull'organizzazione

Un gruppo di indirizzi può essere basato sul progetto o sull'organizzazione, ma non su entrambi.

Gruppi di indirizzi basati sul progetto

Utilizza i gruppi di indirizzi basati sul progetto quando vuoi definire il tuo elenco di indirizzi IP da utilizzare all'interno di un progetto o di una rete per bloccare o consentire un elenco di indirizzi IP in evoluzione. Ad esempio, se vuoi definire il tuo elenco di informazioni sulla minaccia e aggiungerlo a una regola, crea un gruppo di indirizzi con gli indirizzi IP richiesti.

Il tipo di contenitore per i gruppi di indirizzi basati sul progetto è sempre impostato su project. Per ulteriori informazioni su come creare e modificare i gruppi di indirizzi basati sul progetto, consulta Utilizzare i gruppi di indirizzi basati sul progetto.

Gruppi di indirizzi basati sull'organizzazione

Utilizza i gruppi di indirizzi a livello di organizzazione quando vuoi definire un elenco centrale di indirizzi IP che può essere utilizzato nelle regole di alto livello per fornire un controllo coerente per l'intera organizzazione e ridurre il sovraccarico per i singoli proprietari di reti e progetti di gestire elenchi comuni, come servizi attendibili e indirizzi IP interni.

Il tipo di contenitore per i gruppi di indirizzi basati sull'organizzazione è sempre impostato su organization. Per ulteriori informazioni su come creare e modificare i gruppi di indirizzi a livello di organizzazione, consulta Utilizzare i gruppi di indirizzi a livello di organizzazione.

Ruoli IAM

Per creare e gestire un gruppo di indirizzi, devi disporre del ruolo Amministratore di rete (compute.networkAdmin) o del ruolo Amministratore della sicurezza (compute.securityAdmin). Puoi anche definire un ruolo personalizzato con un insieme di autorizzazioni equivalente.

La tabella seguente fornisce un elenco delle autorizzazioni Identity and Access Management (IAM) necessarie per eseguire un insieme di attività sui gruppi di indirizzi.

Attività Nome del ruolo IAM Autorizzazioni IAM

Creare e gestire gruppi di indirizzi

Attività	Nome del ruolo IAM	Autorizzazioni IAM
Creare e gestire gruppi di indirizzi	`compute.networkAdmin` `compute.securityAdmin`	`networksecurity.addressGroups.*`
Trovare e visualizzare i gruppi di indirizzi	`compute.networkUser`	`networksecurity.addressGroups.list` `networksecurity.addressGroups.get` `networksecurity.addressGroups.use`

compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*

Trovare e visualizzare i gruppi di indirizzi

compute.networkUser

networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Per saperne di più sui ruoli che includono autorizzazioni IAM specifiche, consulta il riferimento alle autorizzazioni IAM.

Come funzionano i gruppi di indirizzi con i criteri firewall

I gruppi di indirizzi semplificano la configurazione e la manutenzione dei criteri del firewall. Puoi condividere gli indirizzi IP tra i criteri firewall e definire criteri firewall più complessi, coerenti e solidi per la tua rete con un overhead di manutenzione ridotto. Tieni presenti le seguenti specifiche aggiuntive quando utilizzi i gruppi di indirizzi con i criteri firewall:

La capacità di un gruppo di indirizzi viene aggiunta al conteggio totale degli attributi della regola del firewall in cui viene utilizzato il gruppo di indirizzi. Assicurati di impostare la capacità su un valore appropriato in base al tuo caso d'uso.
Se un gruppo di indirizzi aggiunto alla regola del criterio firewall non esiste, il filtro del gruppo di indirizzi viene rimosso dalla regola. Per ulteriori informazioni su come aggiungere gruppi di indirizzi di origine o di destinazione alle regole del criterio firewall, consulta Origini e Destinazioni.
I gruppi di indirizzi basati sull'organizzazione possono essere utilizzati nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali. I gruppi di indirizzi basati sul progetto possono essere utilizzati solo nei criteri firewall di rete globali e nei criteri firewall di rete regionali.
Sia per i gruppi di indirizzi basati sul progetto sia per quelli basati sull'organizzazione, la località del gruppo di indirizzi deve corrispondere a quella del criterio del firewall.

Passaggi successivi

Utilizzare i gruppi di indirizzi