このページは Cloud Translation API によって翻訳されました。

ファイアウォールのセキュアタグ

Cloud Next Generation Firewall ルールは、タグを使用して送信元とターゲットを指定します。この柔軟なアプローチにより、IP アドレスへの依存を回避できます。

タグの種類

Cloud NGFW は、次の 2 種類のタグをサポートしています。

Identity and Access Management（IAM）で管理されるタグ（セキュアタグとも呼ばれます）は、Resource Manager でタグキーとタグ値として作成および管理されます。セキュアタグ値を使用して、階層型ファイアウォールポリシー、グローバルネットワークファイアウォールポリシー、リージョンネットワークファイアウォールポリシーの上り（内向き）ルールの送信元と、上り（内向き）または下り（外向き）ルールのターゲットを指定できます。
ネットワークタグは、仮想マシン（VM）インスタンスまたはインスタンステンプレートに追加できるアクセス制御のない文字列です。ネットワークタグは、上り（内向き）Virtual Private Cloud（VPC）ファイアウォールルールの送信元と、上り（内向き）または下り（外向き）VPC ファイアウォールルールのターゲットを指定するために使用できます。ネットワークタグは、階層型ファイアウォールポリシー、グローバルネットワークファイアウォールポリシー、リージョンネットワークファイアウォールポリシーのルールでは使用できません。ネットワークタグの詳細については、ネットワークタグを追加するをご覧ください。

セキュアタグとネットワークタグの違いについては、セキュアタグとネットワークタグの比較をご覧ください。

このページの次のセクションでは、ファイアウォールポリシーの安全なタグについて説明します。

仕様

セキュアタグの仕様は次のとおりです。

親リソース: 親リソースは、セキュアタグキーが定義されているリソースです。タグキーは、親のプロジェクトまたは組織に作成できます。タグキーの作成の詳細については、安全なタグの作成と管理をご覧ください。
目的と目的データ: Cloud NGFW で安全なタグキーを使用するには、タグキーの purpose 属性を GCE_FIREWALL に設定し、purpose-data 属性を指定する必要があります。
- タグキーの purpose-data 属性を network に設定し、その後に単一の VPC ネットワーク仕様を指定できます。
  - 親プロジェクトを持つタグキーの場合、タグキーの purpose-data 属性を network に設定すると、指定された VPC ネットワークはタグキーと同じプロジェクトに存在する必要があります。
  - 親組織を持つタグキーの場合、タグキーの purpose-data 属性を network に設定すると、指定された VPC ネットワークはタグキーと同じ組織に存在する必要があります。
- タグキーの purpose-data 属性を organization=auto に設定できます。これは、組織内のすべての VPC ネットワークを識別します。
タグキーの作成後に purpose 属性と purpose-data 属性を変更することはできません。タグキーの purpose-data 属性でネットワーク仕様の形式を設定する方法について詳しくは、Resource Manager API ドキュメントの目的をご覧ください。
構造と形式: セキュアタグキーは、最大 1,000 個の一意のタグ値を参照できます。タグ管理者ロール（roles/resourcemanager.tagAdmin）を持つ IAM プリンシパルは、各タグキーのタグキーとタグ値を作成します。安全なタグの上限の詳細については、上限をご覧ください。
組織間でプロジェクトを移動する: プロジェクトをある組織から別の組織に移動できます。プロジェクトを移動する前に、プロジェクトで使用されている組織を指定する purpose-data 属性を持つタグキーを元の組織から切り離します。セキュアタグを先に切り離さないと、移動中にエラーメッセージが表示されます。
アクセス制御: IAM ポリシーにより、セキュアタグを管理および使用できる IAM プリンシパルが決まります。
- タグ管理者ロール（roles/resourcemanager.tagAdmin）を持つ IAM プリンシパルは、タグキーを作成し、そのタグ値を管理できます。
  - 組織の IAM ポリシーでタグ管理者ロール（roles/resourcemanager.tagAdmin）が付与された IAM プリンシパルは、組織を親としてタグキーを作成できます。
  - 組織、フォルダ、またはプロジェクトの IAM ポリシーでタグ管理者ロール（roles/resourcemanager.tagAdmin）が付与された IAM プリンシパルは、プロジェクトを親としてタグキーを作成できます。
- タグユーザーロール（roles/resourcemanager.tagUser）を持つ IAM プリンシパルは、タグ値を VM インスタンスにバインドしたり、階層型ファイアウォールポリシー、グローバルネットワークファイアウォールポリシー、リージョンネットワークファイアウォールポリシーのファイアウォールルールでタグ値を使用したりできます。
  - 組織の IAM ポリシーでタグユーザーロール（roles/resourcemanager.tagUser）が付与された IAM プリンシパルは、親が組織であるタグキーのタグ値を使用できます。
  - 組織、フォルダ、またはプロジェクトの IAM ポリシーでタグユーザーロール（roles/resourcemanager.tagUser）が付与された IAM プリンシパルは、親としてプロジェクトを持つタグキーのタグ値を使用できます。
- 開発者、データベース管理者、運用チームである IAM プリンシパルには、コンピューティングセキュリティ管理者ロール（roles/compute.securityAdmin）を付与することなく、タグユーザーロール（roles/resourcemanager.tagUser）やその他の適切なロールを付与できます。これにより、運用チームは、ファイアウォールルールを変更することなく、管理する VM インスタンスのネットワークインターフェースに適用するファイアウォールルールを制御できます。
必要な権限の詳細については、IAM ロールをご覧ください。
ファイアウォールルールのサポート: 階層型ファイアウォールポリシー、グローバルネットワークファイアウォールポリシー、リージョンネットワークファイアウォールポリシーのルールは、ソースセキュアタグまたはターゲットセキュアタグとしてタグキーをサポートしています。VPC ファイアウォールルールはセキュアタグをサポートしていません。詳細については、セキュアタグとネットワークタグの比較をご覧ください。
VM バインディングと適用可能なファイアウォールルール: セキュアタグ値を VM インスタンスにバインドすると、タグ値を使用する適用可能なファイアウォールルールには、ソースまたはターゲットとして VM ネットワークインターフェースが含まれます。
- インスタンスにバインドされているセキュアタグの値が、purpose-data 属性で単一の VPC ネットワークが指定されているタグキーからのものである場合:
  - そのタグ値を送信元セキュアタグとして使用する上り（内向き）ファイアウォールルールには、指定された VPC ネットワーク内の VM のネットワークインターフェースを含む送信元があります。
  - そのタグ値をターゲットセキュアタグとして使用する上り（内向き）と下り（外向き）のファイアウォールルールには、指定された VPC ネットワーク内の VM のネットワークインターフェースを含むターゲットがあります。
- インスタンスにバインドされているセキュアタグ値が、purpose-data 属性で組織が指定されているタグキーのタグ値である場合:
  - そのタグ値を送信元セキュアタグとして使用する上り（内向き）ファイアウォールルールには、組織の任意の VPC ネットワークにある VM のネットワークインターフェースを含む送信元があります。
  - そのタグ値をターゲットセキュアタグとして使用する上り（内向き）と下り（外向き）のファイアウォールルールには、組織の任意の VPC ネットワークにある VM のネットワークインターフェースを含むターゲットがあります。
適用可能なファイアウォールルールがパケットを識別する方法: Cloud NGFW は、送信元セキュアタグと宛先セキュアタグを IP アドレスではなくネットワークインターフェースにマッピングします。
- 上り（内向き）ファイアウォールルールの送信元セキュアタグに VM ネットワークインターフェースが送信元として含まれている場合、 Google Cloud は、そのネットワークインターフェースから送信されるパケットと一致します。
- 上り（内向き）ファイアウォールルールのターゲットセキュアタグに VM ネットワークインターフェースがターゲットとして含まれている場合、 Google Cloud は、そのネットワークインターフェースで受信されたパケットと一致します。
- 下り（外向き）ファイアウォールルールのターゲットセキュアタグに VM ネットワークインターフェースがターゲットとして含まれている場合、 Google Cloud は、そのネットワークインターフェースから送信されるパケットと一致します。
インスタンスあたりのタグ値の数: 各タグ値を無制限の数の VM インスタンスにバインドできます。各インスタンスがサポートするタグ値の数は可変です。 Google Cloud は、VM の各ネットワークインターフェースに適用されるタグ値の数を 10 個に制限します。 Google Cloud は、1 つ以上のネットワークインターフェースに 10 個を超えるタグ値が適用されている場合、追加のタグ値を VM インスタンスにバインドすることを禁止します。詳細については、セキュアタグをバインドするをご覧ください。
VPC ネットワークピアリングのサポート: ファイアウォールポリシーの上り（内向き）ルールのソースセキュアタグは、ピアリングされた VPC ネットワークにある送信元 VM ネットワークインターフェースを識別できます。これは、プライベートサービスアクセスを使用する公開サービスのユーザーに役立ちます。ソースセキュアタグを持つ上り（内向き）ファイアウォールルールを使用すると、コンシューマーは、どのサービスプロデューサー VM がコンシューマー VM にパケットを送信できるかを制御できます。
Google Kubernetes Engine（GKE）のセキュリティタグ: purpose-data=organization=auto 構成で作成されたセキュリティタグは、GKE クラスタとノードプールではサポートされていません。したがって、VPC ネットワークごとに安全なタグキーを作成します。詳細については、安全なタグの作成と管理をご覧ください。

セキュアタグをバインドする

Cloud NGFW でセキュアタグを使用するには、タグ値を VM インスタンスにバインドする必要があります。各セキュアタグキーは複数のタグ値をサポートしますが、各タグキーに対して、そのタグ値の 1 つのみをインスタンスにバインドできます。IAM 権限とセキュアタグのバインド方法の詳細については、セキュアタグをバインドするをご覧ください。

このセクションの例では、バインドされたタグ値が VM ネットワークインターフェースにどのように適用されるかを示します。次の例では、2 つのネットワークインターフェースを持つ instance1 VM インスタンスについて考えます。

nic0 が network1 VPC ネットワークに接続されている
nic1 が network2 VPC ネットワークに接続されている

両方の VPC ネットワークが同じ組織に属している。

2 つのネットワークインターフェースを持つ VM インスタンス。各インターフェースは異なる VPC ネットワークに接続されています。 — **図 1.** 2 つのネットワークインターフェースを持つ VM インスタンス。各インターフェースは異なる VPC ネットワークに接続されています（クリックして拡大）。

対応するタグキーの purpose-data 属性は、バインドされたタグ値と VM ネットワークインターフェースの関係を決定します。

`purpose-data` 属性で VPC ネットワークを指定するタグキー

次の purpose-data 属性とタグ値を使用して 2 つのタグキーを作成するとします。

tag_key1 には、network1 VPC ネットワークと 2 つのタグ値 tag_value1 と tag_value2 を指定する purpose-data 属性があります。
tag_key2 には、network2 VPC ネットワークと 1 つのタグ値 tag_value3 を指定する purpose-data 属性があります。

各タグキーの `purpose-data` 属性は、単一の VPC ネットワークを指定します。 — **図 2.** 各タグキーの `purpose-data` 属性は、単一の VPC ネットワークを指定します（クリックして拡大）。

セキュアタグ値 tag_value1 と tag_value3 を instance1 にバインドする場合:

tag_value1 の親 tag_key1 に network1 VPC ネットワークを指定する purpose-data 属性があり、nic0 ネットワークインターフェースが network1 にあるため、tag_value1 は nic0 ネットワークインターフェースに適用されます。
tag_value3 の親 tag_key2 に network2 VPC ネットワークを指定する purpose-data 属性があり、nic1 ネットワークインターフェースが network2 にあるため、tag_value3 は nic1 ネットワークインターフェースに適用されます。

次の図は、purpose-data 属性で単一の VPC ネットワークが指定されているタグキーのバインディングタグ値を示しています。

`purpose-data` 属性で単一の VPC ネットワークが指定されているタグキーのバインドされたタグ値。 — **図 3.** `purpose-data` 属性で単一の VPC ネットワークが指定されているタグキーのバインドされたタグ値（クリックして拡大）。

`purpose-data` 属性で組織を指定するタグキー

次の purpose-data 属性とタグ値を使用して 2 つのタグキーを作成するとします。

tag_key3 には、親組織を指定する purpose-data 属性があり、tag_value4 と tag_value5 の 2 つのタグ値があります。
tag_key4 には、親組織を指定する purpose-data 属性があり、1 つのタグ値 tag_value6 があります。

各タグキーの `purpose-data` 属性は、親組織を指定します。 — **図 4.** 各タグキーの `purpose-data` 属性は、親組織を指定します（クリックして拡大）。

タグ値 tag_value4 を instance1 にバインドする場合:

tag_value4 の親 tag_key3 には、network1 VPC ネットワークを含む親組織を指定する purpose-data 属性があり、nic0 ネットワークインターフェースは network1 にあるため、tag_value4 は nic0 ネットワークインターフェースに適用されます。
tag_value4 は nic1 ネットワークインターフェースにも適用されます。これは、親 tag_key3 に、network2 VPC ネットワークを含む親組織を指定する purpose-data 属性が含まれているためです。nic1 ネットワークインターフェースは network2 内にあります。

次の図は、purpose-data 属性で親組織が指定されているタグキーからタグ値をバインドする方法を示しています。

`purpose-data` 属性で親組織が指定されているタグキーのバインドされたタグ値。 — **図 5.** `purpose-data` 属性で親組織が指定されているタグキーのバインドされたタグ値（クリックして拡大）。

セキュアタグを設定する

次のワークフローは、ファイアウォールポリシーでセキュアタグを構成するために必要な一連の手順の概要を示しています。

セキュアタグは、組織レベルまたはプロジェクトレベルで作成できます。組織レベルでタグを作成するには、まず組織管理者から IAM 権限を付与してもらう必要があります。詳細については、安全なタグに権限を付与するをご覧ください。
セキュアタグを作成するには、まずタグキーを作成する必要があります。このタグキーは、作成するタグを記述します。詳細については、セキュアタグのキーと値を作成するをご覧ください。
セキュアタグキーを作成したら、関連するセキュアタグの値を追加する必要があります。詳細については、セキュアタグのキーと値を作成するをご覧ください。セキュアタグキーを管理し、タグ値をリソースに付加するための特定のアクセス権をユーザーに付与するには、 Google Cloud コンソールを使用します。詳細については、タグへのアクセスを管理するをご覧ください。
セキュアタグを作成したら、ネットワークファイアウォールポリシーまたは階層型ファイアウォールポリシーで使用できます。詳細については、階層型ファイアウォールポリシーを作成するとネットワークファイアウォールポリシーを作成するをご覧ください。
ソースタグキーとターゲットタグキーを使用して VM 間で選択したトラフィックを許可するには、特定のソースタグ値とターゲットタグ値を使用してファイアウォールポリシールール（ネットワークまたは階層型）を作成します。詳細については、セキュアタグを使用してファイアウォールポリシールールを作成するをご覧ください。
タグキーが作成され、タグキーとリソースの両方に適切なアクセス権が付与されると、タグキーを VM インスタンスにバインドできます。詳細については、セキュアタグをバインドするをご覧ください。

セキュアタグとネットワークタグの比較

次の表に、セキュアタグとネットワークタグの違いを示します。チェックマークは属性がサポートされていることを示し、記号は属性がサポートされていないことを示します。

属性	VPC ネットワークを指定する `purpose-data` 属性を持つセキュアタグ	組織を指定する `purpose-data` 属性でタグを保護する	ネットワークタグ
親リソース	プロジェクトまたは組織	プロジェクトまたは組織	プロジェクト
構造と形式	最大 1,000 個の値を持つタグキー	最大 1,000 個の値を持つタグキー	シンプルな文字列
アクセス制御	IAM の使用	IAM の使用	アクセス制御なし
適用可能なネットワークインターフェース	送信元セキュアタグ値を含む上り（内向き）ファイアウォールルール: 送信元には、タグキーの `purpose-data` 属性で指定された VPC ネットワーク内の VM ネットワークインターフェースが含まれます。ターゲットセキュアタグ値を含む上り（内向き）または下り（外向き）のファイアウォールルール: ターゲットには、タグキーの `purpose-data` 属性で指定された VPC ネットワーク内の VM ネットワークインターフェースが含まれます。	送信元セキュアタグ値を含む上り（内向き）ファイアウォールルール: 送信元には、親組織の任意の VPC ネットワーク内の VM ネットワークインターフェースが含まれます。ターゲットセキュアタグ値を含む上り（内向き）または下り（外向き）のファイアウォールルール: ターゲットには、親組織の任意の VPC ネットワーク内の VM ネットワークインターフェースが含まれます。	送信元ネットワークタグを含む上り（内向き）ファイアウォールルール: そのネットワークに送信元ネットワークタグを使用する VPC ファイアウォールルールがある場合、送信元には VM で使用される任意の VPC ネットワーク内の VM ネットワークインターフェースが含まれます。ターゲットネットワークタグを含む上り（内向き）または下り（外向き）のファイアウォールルール: ターゲットには、VM が使用する VPC ネットワーク内の VM ネットワークインターフェースが含まれます。ただし、そのネットワークにターゲットネットワークタグを使用する VPC ファイアウォールルールがある場合に限ります。
階層型ファイアウォールポリシーのルールでサポート
グローバルネットワークファイアウォールポリシーとリージョンネットワークファイアウォールポリシーのルールでサポート
VPC ファイアウォールルールでサポート
上り（内向き）ファイアウォールルールには、VPC ネットワークピアリングを使用して接続された VPC ネットワークの送信元を含めることができます	¹	¹
上り（内向き）ファイアウォールルールには、Network Connectivity Center ハブの他の VPC スポークの送信元を含めることができます

¹次の両方の条件が満たされている場合、送信元セキュアタグ値は別の VPC ネットワーク内のネットワークインターフェースを識別できます。

タグキー purpose-data 属性は、他の VPC ネットワーク（または他の VPC ネットワークを含む親組織）を指定します。
他の VPC ネットワークとファイアウォールポリシーを使用する VPC ネットワークは、VPC ネットワークピアリングを使用して接続されている

IAM ロール

セキュアタグの作成と管理に必要な IAM のロールと権限の詳細については、リソースのタグの管理をご覧ください。

次のステップ

セキュアタグに権限を付与し、セキュアタグの Key-Value ペアを作成する。セキュアタグを作成して管理するをご覧ください。
ネットワークピアリングでセキュアタグを使用するには、ピアリングされるネットワーク間でセキュアタグを使用するをご覧ください。