Halaman ini menjelaskan cara mencantumkan, mendeskripsikan, menutup, memulihkan, dan mengekspor insight.
Peran dan izin yang diperlukan
Untuk mendapatkan izin yang Anda perlukan guna mengelola dan mengekspor insight, minta administrator untuk memberi Anda peran IAM berikut di project Anda:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Firewall Recommender Viewer (
roles/recommender.firewallViewer)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk mengelola dan mengekspor insight. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk mengelola dan mengekspor insight:
-
recommender.computeFirewallInsights.list -
recommender.computeFirewallInsights.update
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Mencantumkan insight untuk project
Untuk menampilkan insight project, lakukan hal berikut:
gcloud
Gunakan perintah gcloud recommender insights list:
gcloud recommender insights list \
--project=PROJECT_ID \
--location=global \
--insight-type=google.compute.firewall.Insight \
--filter=EXPRESSION \
--limit=LIMIT \
--page-size=PAGE_SIZE \
--sort-by=SORT_BY \
--format=json
Ganti PROJECT_ID dengan project ID yang ingin Anda
cantumkan insight-nya.
Flag location selalu menggunakan lokasi bernama global. Flag
insight-type selalu menggunakan jenis insight bernama
google.compute.firewall.Insight. Kecuali jika Anda
memformat output dalam JSON, output perintah akan berupa tabel.
Kolom berikut bersifat opsional:
EXPRESSION: terapkan filter Boolean ini ke setiap resource yang ingin Anda cantumkanJika ekspresi bernilai
True, item tersebut akan dicantumkan. Untuk mengetahui detail dan contoh ekspresi filter, jalankan$ gcloud topic filtersatau lihat dokumentasigcloud topic filters.LIMIT: jumlah maksimum resource yang akan dicantumkan; jumlah default resource yang dicantumkan tidak terbatasPAGE_SIZE: jumlah maksimum resource yang akan dicantumkan per halamanUkuran halaman default ditentukan oleh layanan; jika tidak, tidak akan ada paging. Pembagian halaman dapat diterapkan sebelum atau setelah
FILTERdanLIMIT.SORT_BY: daftar nama kunci kolom yang dipisahkan koma untuk pengurutan resourceUrutan defaultnya adalah menaik. Untuk menentukan urutan menurun, beri awalan kolom dengan
~(tilde).
API
Buat permintaan GET ke
metode projects.locations.insightTypes.insights:
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
Contoh berikut menunjukkan contoh respons untuk perintah ini:
insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
"shadowingFirewalls": [
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
"state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
],
"insightSubtype": "SHADOWED_RULE"
}
Menjelaskan insight
Untuk menjelaskan detail tentang aturan firewall tertentu dalam project, lakukan hal berikut:
gcloud
Gunakan perintah gcloud recommender insights describe:
gcloud recommender insights describe INSIGHT_ID \
--project=PROJECT_NAME \
--location=global \
--insight-type=google.compute.firewall.Insight
Ganti kode berikut:
INSIGHT_ID: ID insight yang akan dijelaskanPROJECT_NAME: nama project yang ingin Anda cantumkan insight-nya
Flag location selalu menggunakan lokasi bernama global. Flag
insight-type selalu menggunakan jenis insight bernama
google.compute.firewall.Insight.
API
Buat permintaan GET ke
metode projects.locations.insightTypes.insights:
GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
"name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}
Ganti kode berikut:
PROJECT_ID: the project IDLOCATION: selalu menggunakan lokasi bernamaglobalINSIGHT_TYPE_ID: selalu gunakan nilaigoogle.compute.firewall.InsightINSIGHT_ID: ID untuk insight
Menandai insight sebagai ditutup
Jika insight tidak bermakna, atau jika Anda ingin menyembunyikannya karena alasan lain, Anda dapat menutupnya. Setelah Anda menutup insight, konsol Google Cloud tidak lagi menampilkan insight tersebut kepada Anda atau pengguna lain, kecuali jika Anda memulihkannya.
Untuk menandai insight sebagai ditutup, lakukan hal berikut:
Konsol
Di konsol Google Cloud, buka halaman Firewall Insights.
Temukan kartu yang sesuai, lalu klik Lihat daftar lengkap.
Pilih aturan yang ingin Anda tutup, lalu klik Tutup.
Memulihkan insight yang ditutup
Jika Anda menutup insight yang kemudian Anda anggap relevan, Anda atau pengguna lain dapat memulihkannya dan membuatnya terlihat di konsol Google Cloud.
Untuk memulihkan insight yang ditutup, lakukan hal berikut:
Konsol
Di konsol Google Cloud, buka halaman Firewall Insights.
Klik Dismiss History. Sebagai respons, konsol Google Cloud akan menampilkan halaman Insight yang ditutup.
Pilih insight yang ingin dipulihkan, lalu klik Pulihkan.
Mengekspor insight
Jika diperlukan, Anda dapat mengekspor insight aturan yang dibayangi dan terlalu permisif dalam format CSV atau JSON. Informasi Deny rules with hits tidak dapat diekspor karena
didasarkan pada metrik stackdriver firewall, bukan insight.
Anda mungkin ingin mengekspor insight karena salah satu alasan berikut:
- Anda perlu mengimpor data ke sistem lain.
- Anda ingin mengakses data saat offline.
- Anda ingin menonaktifkan Analisis Firewall, tetapi ingin mempertahankan akses ke insight yang dibuat sebelumnya.
Untuk mengekspor insight, lakukan hal berikut:
Konsol
Di konsol Google Cloud, buka halaman Firewall Insights.
Klik Save as.
Ikuti petunjuk untuk memilih format insight dan mendownloadnya.
Anda juga dapat mengekspor insight ke BigQuery. Saat mengekspor insight ke BigQuery, Anda dapat melihat snapshot insight harian untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengekspor rekomendasi ke BigQuery.