Halaman ini menjelaskan cara membuat daftar, mendeskripsikan, menutup, memulihkan, dan mengekspor insight.
Peran dan izin yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk mengelola dan mengekspor insight, minta administrator Anda untuk memberi Anda peran IAM berikut pada project Anda:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Firewall Recommender Viewer (
roles/recommender.firewallViewer)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.
Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk mengelola dan mengekspor insight. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk mengelola dan mengekspor insight:
-
recommender.computeFirewallInsights.list -
recommender.computeFirewallInsights.update
Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.
Membuat daftar insight untuk project
Untuk mencantumkan wawasan proyek, lakukan hal berikut:
gcloud
Gunakan perintah gcloud recommender insights list:
gcloud recommender insights list \
--project=PROJECT_ID \
--location=global \
--insight-type=google.compute.firewall.Insight \
--filter=EXPRESSION \
--limit=LIMIT \
--page-size=PAGE_SIZE \
--sort-by=SORT_BY \
--format=json
Ganti PROJECT_ID dengan project ID yang ingin Anda cantumkan insight-nya.
Flag location selalu menggunakan lokasi bernama global. Flag
insight-type selalu menggunakan jenis insight bernama
google.compute.firewall.Insight. Kecuali jika Anda
memformat output dalam JSON, output perintah akan berbentuk tabel.
Kolom berikut bersifat opsional:
EXPRESSION: menerapkan filter Boolean ini ke setiap resource yang ingin Anda cantumkanJika ekspresi dievaluasi sebagai
True, item tersebut akan dicantumkan. Untuk mengetahui detail dan contoh ekspresi filter selengkapnya, jalankan$ gcloud topic filtersatau lihat dokumentasigcloud topic filters.LIMIT: jumlah maksimum resource yang dicantumkan; jumlah default resource yang tercantum tidak terbatasPAGE_SIZE: jumlah maksimum resource yang dicantumkan per halamanUkuran halaman default ditentukan oleh layanan; jika tidak, maka tidak akan ada paging. Paging mungkin diterapkan sebelum atau setelah
FILTERdanLIMIT.SORT_BY: daftar nama kunci kolom yang dipisahkan koma untuk diurutkan berdasarkan resourceUrutan defaultnya adalah menaik. Untuk menentukan urutan menurun, awali kolom dengan
~(tanda gelombang).
API
Buat permintaan GET ke
metode projects.locations.insightTypes.insights:
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
Contoh berikut menunjukkan contoh respons untuk perintah ini:
insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
"shadowingFirewalls": [
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
"state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
],
"insightSubtype": "SHADOWED_RULE"
}
Menjelaskan wawasan
Untuk menjelaskan detail tentang aturan firewall tertentu dalam sebuah project, lakukan langkah berikut:
gcloud
Gunakan perintah gcloud recommender insights describe:
gcloud recommender insights describe INSIGHT_ID \
--project=PROJECT_NAME \
--location=global \
--insight-type=google.compute.firewall.Insight
Ganti kode berikut:
INSIGHT_ID: ID insight yang akan dijelaskanPROJECT_NAME: nama project yang ingin Anda buat daftar insight-nya
Flag location selalu menggunakan lokasi bernama global. Flag
insight-type selalu menggunakan jenis insight bernama
google.compute.firewall.Insight.
API
Buat permintaan GET ke
metode projects.locations.insightTypes.insights:
GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
"name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}
Ganti kode berikut:
PROJECT_ID: the project IDLOCATION: selalu gunakan lokasi yang bernamaglobalINSIGHT_TYPE_ID: selalu gunakan nilaigoogle.compute.firewall.InsightINSIGHT_ID: ID untuk insight
Menandai insight sebagai ditutup
Jika ada insight yang tidak berarti, atau jika Anda ingin menyembunyikannya karena alasan lain, Anda dapat menutupnya. Setelah Anda menutup insight, konsol Google Cloud tidak akan lagi menampilkan insight kepada Anda atau pengguna lain, kecuali jika Anda memulihkannya.
Untuk menandai insight sebagai ditutup, lakukan langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Analisis Firewall.
Temukan kartu yang sesuai dan klik Lihat daftar lengkap.
Pilih aturan yang ingin ditolak, lalu klik Tolak.
Memulihkan insight yang ditutup
Jika Anda menutup insight yang nantinya dianggap relevan, Anda atau pengguna lain dapat memulihkannya dan menampilkannya di konsol Google Cloud.
Untuk memulihkan insight yang ditutup, lakukan tindakan berikut:
Konsol
Di konsol Google Cloud, buka halaman Analisis Firewall.
Klik Tutup Histori. Sebagai respons, konsol Google Cloud akan menampilkan halaman Insight yang ditolak.
Pilih insight yang ingin Anda pulihkan, lalu klik Pulihkan.
Mengekspor insight
Jika perlu, Anda dapat mengekspor insight aturan yang dibayangi dan terlalu permisif dalam format CSV atau JSON. Informasi Deny rules with hits tidak dapat diekspor karena
didasarkan pada metrik stackdriver firewall, bukan berdasarkan insight.
Sebaiknya Anda mengekspor insight karena salah satu alasan berikut:
- Anda perlu mengimpor data ke sistem lain.
- Anda ingin mengakses data saat sedang offline.
- Anda ingin menonaktifkan Analisis Firewall, tetapi ingin mempertahankan akses ke insight yang dibuat sebelumnya.
Untuk mengekspor insight, lakukan tindakan berikut:
Konsol
Di konsol Google Cloud, buka halaman Analisis Firewall.
Klik Simpan sebagai.
Ikuti petunjuk untuk memilih format insight Anda dan mendownloadnya.
Anda juga dapat mengekspor insight ke BigQuery. Saat mengekspor insight ke BigQuery, Anda dapat melihat ringkasan insight harian untuk organisasi Anda. Untuk mengetahui informasi lebih lanjut, lihat Mengekspor rekomendasi ke BigQuery.