AlloyDB for PostgreSQL | Google Cloud

このページは Cloud Translation API によって翻訳されました。

データベース監査を有効にしてインスタンスのセキュリティを強化する

このページでは、AlloyDB でデータベース監査を有効にする方法、データベース監査の Recommender の仕組みと使用方法について説明します。

AlloyDB データベース監査 Recommender は、監査が有効になっていない本番環境インスタンスを検出できます。データベース監査を有効にするための推奨事項が提示されます。

始める前に

推奨事項と分析情報を表示するには、事前に次の手順を行う必要があります。

Recommender API が有効になっていることを確認します。
分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management（IAM）ロールがあることを確認してください。

タスクロール

推奨事項を表示する recommender.alloydbViewer

推奨事項を適用する recommender.alloydbAdmin または alloydb.admin

詳細については、他のユーザーにアクセス権を付与するをご覧ください。

タスク	ロール
推奨事項を表示する	`recommender.alloydbViewer`
推奨事項を適用する	`recommender.alloydbAdmin` または `alloydb.admin`

推奨事項を一覧取得する

データベース監査の有効化に関する推奨事項を一覧表示するには、 Google Cloud コンソール、gcloud CLI、または Recommender API を使用します。

コンソール

Google Cloud コンソールで、[クラスタ] ページに移動します。

クラスタに移動

詳細については、推奨事項の確認をご覧ください。
[セキュリティ] カードで、[監査が有効になっていません] をクリックします。

[監査が有効になっていません] の推奨事項が適用されるインスタンスを含むクラスタのリストが表示されます。

gcloud CLI

gcloud CLI を使用してデータベース監査の有効化に関する推奨事項を一覧表示するには、次のように gcloud recommender recommendations list コマンドを実行します。

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.alloydb.instance.SecurityRecommender \
--filter=recommenderSubtype=ENABLE_DATABASE_AUDITING

次のように置き換えます。

PROJECT_ID: プロジェクト ID。
LOCATION: インスタンスが配置されているリージョン（us-central1 など）。

API

Recommendations API を使用してデータベース監査の有効化に関する推奨事項を一覧表示するには、次のように recommendations.list メソッドを呼び出します。

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.alloydb.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ENABLE_DATABASE_AUDITING

次のように置き換えます。

PROJECT_ID: プロジェクト ID。
LOCATION: インスタンスが配置されているリージョン（us-central1 など）。

分析情報と詳細な推奨事項を表示する

データベース監査の有効化が必要なインスタンスに関する分析情報と詳細な推奨事項を表示するには、 Google Cloud コンソール、gcloud CLI、または Recommender API を使用します。

コンソール

[クラスタ] ページで、[問題] 列のインスタンスの推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。

gcloud CLI

次のように gcloud recommender insights list コマンドを実行します。


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.alloydb.instance.SecurityInsight \
--filter=insightSubtype=DATABASE_AUDITING_NOT_ENABLED

次のように置き換えます。

PROJECT_ID: プロジェクト ID。
LOCATION: インスタンスが配置されているリージョン（us-central1 など）。

API

次のように insights.list メソッドを呼び出します。

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.alloydb.instance.SecurityInsight/insights?filter=insightSubtype=DATABASE_AUDITING_NOT_ENABLED

次のように置き換えます。

PROJECT_ID: プロジェクト ID。
LOCATION: インスタンスが配置されているリージョン（us-central1 など）。

推奨事項を適用する

推奨事項を慎重に評価し、以下のいずれかを行います。

コンソール

この推奨事項を実装するには、pgAudit を有効にするの手順に沿って操作します。

gcloud CLI

この推奨事項を実装するには、pgAudit を有効にするの手順に沿って操作します。

次のステップ

Google Cloud レコメンダー