このページでは、分析情報の一覧表示、説明、拒否、復元、エクスポートを行う方法について説明します。
必要なロールと権限
分析情報の管理とエクスポートに必要な権限を取得するには、プロジェクトに関する次の IAM ロールを付与してもらうよう管理者に依頼してください。
-
Firewall Recommender 管理者(
roles/recommender.firewallAdmin) -
Firewall Recommender 閲覧者(
roles/recommender.firewallViewer)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには、分析情報の管理とエクスポートに必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
分析情報の管理とエクスポートを行うには、次の権限が必要です。
-
recommender.computeFirewallInsights.list -
recommender.computeFirewallInsights.update
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
プロジェクトの分析情報を一覧表示する
プロジェクトの分析情報を一覧表示する手順は次のとおりです。
gcloud
gcloud recommender insights list コマンドを使用します。
gcloud recommender insights list \
--project=PROJECT_ID \
--location=global \
--insight-type=google.compute.firewall.Insight \
--filter=EXPRESSION \
--limit=LIMIT \
--page-size=PAGE_SIZE \
--sort-by=SORT_BY \
--format=json
PROJECT_ID は、分析情報をリストするプロジェクト ID に置き換えます。
location フラグは、常に global というロケーションを使用します。insight-type フラグは、常に google.compute.firewall.Insight という分析情報タイプを使用します。出力を JSON でフォーマットしない限り、コマンド出力は表形式です。
次のフィールドは省略可能です。
EXPRESSION: 一覧表示する各リソースに、このブール値フィルタを適用します。式が
Trueと評価された場合、そのアイテムがリストされます。フィルタ式の詳細と例については、$ gcloud topic filtersを実行するか、gcloud topic filtersのドキュメントをご覧ください。LIMIT: 一覧表示するリソースの最大数。一覧表示するリソースのデフォルト数は無制限です。PAGE_SIZE: ページごとに一覧表示するリソースの最大数。デフォルトのページサイズはサービスによって決まります。決まらない場合、ページ設定は行われません。ページ設定は、
FILTERとLIMITの前または後に適用されます。SORT_BY: リソースで並べ替えるカンマ区切りのフィールドキー名のリスト。デフォルトの順序は昇順です。降順を指定するには、フィールドの先頭に
~(チルダ)を付けます。
API
projects.locations.insightTypes.insights メソッドに GET リクエストを送信します。
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
次の例は、このコマンドのレスポンス例を示しています。
insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
"shadowingFirewalls": [
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
"state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
],
"insightSubtype": "SHADOWED_RULE"
}
分析情報の説明を表示する
プロジェクトの特定のファイアウォール ルールの詳細を説明するには、次の操作を行います。
gcloud
gcloud recommender insights describe コマンドを使用します。
gcloud recommender insights describe INSIGHT_ID \
--project=PROJECT_NAME \
--location=global \
--insight-type=google.compute.firewall.Insight
以下を置き換えます。
INSIGHT_ID: 説明する分析情報の IDPROJECT_NAME: 分析情報をリストするプロジェクトの名前
location フラグは、常に global というロケーションを使用します。insight-type フラグは、常に google.compute.firewall.Insight という分析情報タイプを使用します。
API
projects.locations.insightTypes.insights メソッドに GET リクエストを送信します。
GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
"name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}
以下を置き換えます。
PROJECT_ID: プロジェクト IDLOCATION: 常にglobalというロケーションを使用INSIGHT_TYPE_ID: 常に値google.compute.firewall.Insightを使用INSIGHT_ID: 分析情報の ID
分析情報を「閉じる」としてマークする
意味のない分析情報や、その他の理由で非表示にする場合は、分析情報を閉じることができます。分析情報を閉じると、復元しない限り、Google Cloud コンソールはその分析情報を表示しなくなります。
分析情報を「閉じる」としてマークする手順は次のとおりです。
コンソール
Google Cloud Console で [ファイアウォール インサイト] ページに移動します。
該当するカードを見つけて、[全リストを表示] をクリックします。
閉じるルールを選択して、[閉じる] をクリックします。
閉じた分析情報を復元する
閉じた分析情報の関連性が後で確認された場合、自身または別のユーザーが分析情報を復元して Google Cloud コンソールに表示できます。
閉じた分析情報を復元するには、次の操作を行います。
コンソール
Google Cloud Console で [ファイアウォール インサイト] ページに移動します。
[閉じた分析情報] をクリックします。これに応じて、Google Cloud Console に [閉じた分析情報] ページが表示されます。
復元する分析情報を選択し、[復元] をクリックします。
分析情報をエクスポートする
必要に応じて、シャドウルールや過度に許容的なルールの分析情報を CSV 形式または JSON 形式でエクスポートできます。Deny rules with hits の情報は、分析情報ではなくファイアウォールの Stackdriver 指標に基づいているため、エクスポートできません。
次のような場合は、分析情報をエクスポートすることをおすすめします。
- データを別のシステムにインポートする必要がある場合。
- オフライン中にデータにアクセスする必要がある場合。
- ファイアウォール インサイトを無効にするが、以前に生成した分析情報に引き続きアクセスしたい場合。
分析情報をエクスポートするには、次の操作を行います。
コンソール
Google Cloud Console で [ファイアウォール インサイト] ページに移動します。
[名前を付けて保存] をクリックします。
表示された手順に沿って分析情報の形式を選択し、ダウンロードします。
また、分析情報を BigQuery にエクスポートすることもできます。分析情報を BigQuery にエクスポートすると、組織の分析情報のスナップショットを毎日表示できます。詳細については、BigQuery への推奨事項のエクスポートをご覧ください。