此页面由 Cloud Translation API 翻译。

通过强制执行 SSL 或 TLS 加密提高实例安全性

AlloyDB 强制执行 SSL 模式 Recommender 可帮助您检测存在数据丢失风险的关键实例。

本页介绍了 AlloyDB 强制执行 SSL 模式 Recommender、此 Recommender 的工作原理及其使用方法。

AlloyDB 强制执行 SSL 模式 Recommender 会分析实例元数据。如果实例是生产实例，并且未对直接连接强制执行加密要求，建议启用 SSL 模式。

建议每天生成一次。

准备工作

在查看建议和数据分析之前，请执行以下操作：

请确保启用 Recommender API。
如需获得查看和使用数据分析和建议的权限，请确保您具有所需的 Identity and Access Management (IAM) 角色。

Tasks 角色

查看建议 recommender.alloydbViewer

采纳建议 recommender.alloydbAdmin 或 alloydb.admin

如需了解详情，请参阅向其他用户授予访问权限。

Tasks	角色
查看建议	`recommender.alloydbViewer`
采纳建议	`recommender.alloydbAdmin` 或 `alloydb.admin`

列出建议

您可以使用 Google Cloud 控制台、gcloud CLI 或 Recommender API 列出强制使用 SSL 模式的建议。

控制台

在 Google Cloud 控制台中，前往集群页面。

转到集群

如需了解详情，请参阅使用 Recommendation Hub 查找建议。
在安全卡片中，点击允许建立未加密的直接连接。

系统会显示包含允许建立未加密的直接连接建议适用的实例的集群列表。

gcloud CLI

如需使用 gcloud CLI 列出强制执行 SSL 模式建议，请运行 gcloud recommender recommendations list 命令，如下所示：

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.alloydb.instance.SecurityRecommender \
--filter=recommenderSubtype=REQUIRE_SSL

替换以下内容：

PROJECT_ID：您的项目 ID。
LOCATION：实例所在的区域，例如 us-central1。

API

如需使用 Recommendations API 列出强制执行 SSL 模式的建议，请调用 recommendations.list 方法，如下所示：

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.alloydb.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REQUIRE_SSL

替换以下内容：

PROJECT_ID：您的项目 ID。
LOCATION：实例所在的区域，例如 us-central1。

查看数据分析和详细建议

您可以使用 Google Cloud 控制台、gcloud CLI 或 Recommender API 查看有关需要强制执行 SSL 模式的实例的分析洞见和详细建议。

如需查看数据分析和详细建议，请按以下步骤操作：

控制台

在集群页面上，点击问题列中针对某个实例的允许建立未加密的直接连接建议。此时会显示“建议”面板，其中包含数据分析和详细建议。

gcloud CLI

运行 gcloud recommender insights list 命令，如下所示：


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.alloydb.instance.SecurityInsight \
--filter=insightSubtype=SSL_NOT_REQUIRED

替换以下内容：

PROJECT_ID：您的项目 ID。
LOCATION：实例所在的区域，例如 us-central1。

API

调用 insights.list 方法，如下所示：

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.alloydb.instance.SecurityInsight/insights?filter=insightSubtype=SSL_NOT_REQUIRED

替换以下内容：

PROJECT_ID：您的项目 ID。
LOCATION：实例所在的区域，例如 us-central1。

应用建议

请仔细评估建议，并执行以下任何操作：

控制台

如需实施建议，请在实例上强制执行 SSL/TLS 模式。

gcloud CLI

如需实施建议，请在实例上强制执行 SSL/TLS 模式。

后续步骤

Recommender