As Notificações consultivas fornecem recomendações de política do IAM para garantir que as partes certas da sua organização tenham acesso para conferir notificações críticas de segurança e privacidade no console do Google Cloud. Essas recomendações são geradas automaticamente analisando sua configuração de Contatos essenciais e sua política do IAM. Use estas recomendações para garantir que os administradores de segurança possam receber e resolver rapidamente as notificações de segurança.
Como funcionam as recomendações de notificações de aviso
As recomendações de notificações de aviso monitoram as configurações de políticas do IAM e dos contatos essenciais e fazem recomendações com base nos dados do dia anterior.
As recomendações incluem:
Se nenhum usuário tiver permissão para visualizar as notificações, as Notificações consultivas recomendam conceder acesso às partes apropriadas na sua organização.
Se um principal estiver listado como um contato essencial de segurança, mas não tiver permissão para visualizar as notificações consultivas no console do Google Cloud, as notificações consultivas vão recomendar que o acesso do principal seja concedido. As recomendações de Notificações consultivas não consideram papéis personalizados. Se você estiver concedendo uma permissão principal a notificações consultivas usando um papel personalizado, ignore ou descarte a recomendação.
Conferir recomendações de Notificações consultivas
As notificações de aviso disponibilizam insights e recomendações pelo Recomendador usando a CLI do Google Cloud, a API ou o recurso de exportação do BigQuery.
Antes de começar
Antes de ver os insights e recomendações, faça o seguinte:
- É preciso ativar a API Recommender. Você só precisa ativar a API em um único projeto de faturamento. Depois, é possível usar esse mesmo projeto de faturamento para examinar as recomendações e insights de outros projetos, da organização inteira ou da conta de faturamento, especificando o projeto de faturamento nos comandos do gcloud e nas solicitações de API.
- Verifique se você tem as permissões necessárias
Ver recomendações
gcloud
Para conferir suas recomendações, use o seguinte comando gcloud recommender recommendations list:
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Substitua:
ORGANIZATION_ID: o ID da organização.FORMAT: o formato de saída de sua preferência. Por exemplo,yaml,textejson. Para conferir todos os valores possíveis, consulte Projeções. Os valorescsv,diff,get,tableevalueexigem projeções não vazias.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A saída do comando gcloud recommender recommendations list inclui
os seguintes campos:
name: o nome da recomendação.description: uma explicação legível da recomendação.associatedInsights: uma lista de insights associados.
Também é possível conferir os insights associados a essas recomendações. Para conferir seus insights, use o comando gcloud recommender insights list
abaixo.
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Substitua:
ORGANIZATION_ID: o ID da organização.FORMAT: o formato de saída de sua preferência. Por exemplo,yaml,textejson. Para conferir todos os valores possíveis, consulte Projeções. Os valorescsv,diff,get,tableevalueexigem projeções não vazias.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A saída do comando gcloud recommender insights list inclui
os seguintes campos:
name: o nome da recomendação.description: uma explicação legível do insight.associatedRecommendations: uma lista de recomendações associadas.
Para mais informações, consulte os documentos do Recommender.
API
Para conferir suas recomendações, use a
API Recommender com
o ID do recomendador google.cloud.security.GeneralRecommender.
O script bash de exemplo a seguir usa um token de acesso retornado por Application Default Credentials para uma solicitação de curl. Para informações sobre como configurar o Application
Default Credentials, consulte
Fornecer credenciais para o Application Default Credentials.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
Substitua:
ORGANIZATION_ID: o ID da organização.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A resposta inclui os campos a seguir:
name: o nome da recomendação.description: uma explicação legível da recomendação.associatedInsights: uma lista de insights associados.
Para conferir seus insights, use a
API Recommender com
o tipo de insight google.cloud.security.GeneralInsight.
O script bash de exemplo a seguir usa um token de acesso retornado por Application Default Credentials para uma solicitação de curl. Para informações sobre como configurar o Application Default Credentials, consulte Fornecer credenciais para o Application Default Credentials.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
Substitua:
ORGANIZATION_ID: o ID da organização.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A resposta inclui os campos a seguir:
name: o nome da recomendação.description: uma explicação legível da recomendação.associatedRecommendations: uma lista de recomendações associadas.
Para mais informações, consulte Como usar a API Recommender.
BigQuery Export
As recomendações e os insights também podem ser exportados em massa para uma tabela do BigQuery. Confira mais detalhes na documentação do BigQuery Export.
Agir de acordo com as recomendações das Notificações consultivas
As seções a seguir oferecem conselhos específicos sobre como agir de acordo com recomendações específicas de notificações de aviso. Cada seção corresponde a um subtipo de recomendador de notificações de aviso. A lista a seguir menciona as seções do subtipo de recomendador.
Conceder acesso às Notificações consultivas?
Esta seção ajuda você a agir de acordo com as recomendações com o subtipo SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS do Recommender.
Você recebeu esta recomendação porque alguns dos seus Contatos essenciais nas categorias "Segurança" e "Todos" não têm acesso às Notificações consultivas. Isso significa que esses contatos recebem notificações por e-mail, mas não conseguem visualizar a notificação no console do Google Cloud.
Recomendamos que cada contato essencial tenha acesso às notificações de aviso em vez de conceder acesso por grupos ou domínios pai. Ao conceder acesso a cada contato essencial, é menos provável que o acesso seja revogado acidentalmente no futuro. Além disso, é possível usar o papel de leitor de notificações consultivas com autodocumentação para esclarecer por que a vinculação existe.
Para aplicar essa recomendação, faça o seguinte:
Encontre todos os contatos essenciais de segurança no nível da organização na configuração de contatos essenciais. Esses são os contatos nas categorias "Segurança" e "Todos".
Conceda a cada contato a permissão para visualizar as Notificações consultivas na página de administrador do Identity and Access Management atribuindo a eles o papel de leitor de Notificações consultivas (
roles/advisorynotifications.viewer). Consulte como visualizar notificações consultivas se quiser saber quais são as permissões necessárias para visualizar notificações consultivas.
Configure seus Leitores de Notificações consultivas
Esta seção ajuda você a agir de acordo com as recomendações com o subtipo NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS do Recommender.
Você recebeu esta recomendação porque não foi possível identificar nenhum titular na sua organização com acesso a Notificações consultivas.
Recomendamos que você configure os Contatos essenciais e as Notificações consultivas para estar preparado para receber notificações importantes de segurança e privacidade.
Para aplicar essa recomendação, faça o seguinte:
Configure os contatos essenciais de segurança no nível da organização na página "Contatos essenciais".
Para conceder a cada contato a permissão de visualizar as Notificações consultivas, atribua a eles o papel de leitor de Notificações consultivas (
roles/advisorynotifications.viewer) na página de administrador do Identity and Access Management. Consulte como visualizar notificações consultivas se quiser saber quais são as permissões necessárias para visualizar notificações consultivas.
Se você preferir não usar os contatos essenciais, ainda recomendamos conceder permissões de visualização de notificações consultivas às partes apropriadas da sua organização, como um administrador de segurança. Conceder permissões de visualização para as Notificações consultivas sem configurar os Contatos essenciais não garante que as partes recebam notificações por e-mail das Notificações consultivas.
Preços
Para informações sobre preços, consulte Preços do recomendador.
A seguir
- Saiba mais sobre as notificações de aviso.
- Saiba mais sobre o Recommender e a respectiva API