Nesta página, descrevemos como listar, descrever, dispensar, restaurar e exportar insights.
Papéis e permissões necessárias
Para receber as permissões necessárias para gerenciar e exportar insights, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Administrador de recomendador de firewall (
roles/recommender.firewallAdmin
) -
Leitor de recomendador de firewall (
roles/recommender.firewallViewer
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para gerenciar e exportar insights. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para gerenciar e exportar insights:
-
recommender.computeFirewallInsights.list
-
recommender.computeFirewallInsights.update
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Listar insights para um projeto
Para listar os insights de um projeto, faça o seguinte:
gcloud
Use o comando gcloud recommender insights list
:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=global \ --insight-type=google.compute.firewall.Insight \ --filter=EXPRESSION \ --limit=LIMIT \ --page-size=PAGE_SIZE \ --sort-by=SORT_BY \ --format=json
Substitua PROJECT_ID
pelo ID do projeto de que você quer
listar insights.
A sinalização location
sempre usa o local chamado global
. A
sinalização insight-type
sempre usa o tipo de insight chamado
google.compute.firewall.Insight
. A menos que você formate a saída em JSON, a saída do comando é tabular.
Os seguintes campos são opcionais:
EXPRESSION
: aplique esse filtro booleano a cada recurso que você quer listar.Se a expressão for avaliada como
True
, esse item será listado. Para mais detalhes e exemplos de expressões de filtro, execute$ gcloud topic filters
ou consulte a documentação degcloud topic filters
.LIMIT
: o número máximo de recursos a serem listados. O número padrão de recursos listados é ilimitadoPAGE_SIZE
: o número máximo de recursos a serem listados por páginaO tamanho da página padrão é determinado pelo serviço. Caso contrário, não haverá paginação. A paginação pode ser aplicada antes ou depois de
FILTER
eLIMIT
.SORT_BY
: uma lista de nomes de chave de campo separados por vírgulas para classificar por um recursoA ordem padrão é crescente. Para especificar uma ordem decrescente, prefixe um campo com
~
(um til).
API
Faça uma solicitação GET
ao método projects.locations.insightTypes.insights
.
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
O exemplo a seguir mostra uma resposta de amostra para este comando:
insights { "name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}" "description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}." "content": { "shadowingFirewalls": [ "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}" ] }, "lastRefreshTime": "2020-04-01T19:16:43Z", "observationPeriod": "0s", "stateInfo" { "state": "ACTIVE" } "category": "SECURITY" "targetResources":[ "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}" ], "insightSubtype": "SHADOWED_RULE" }
Descrever insights
Para descrever detalhes sobre uma regra de firewall específica em um projeto, faça o seguinte:
gcloud
Use o comando gcloud recommender insights describe
:
gcloud recommender insights describe INSIGHT_ID \ --project=PROJECT_NAME \ --location=global \ --insight-type=google.compute.firewall.Insight
Substitua:
INSIGHT_ID
: o ID do insight a ser descritoPROJECT_NAME
: o nome do projeto para o qual você quer listar insights
A sinalização location
sempre usa o local chamado global
. A
sinalização insight-type
sempre usa o tipo de insight chamado
google.compute.firewall.Insight
.
API
Faça uma solicitação GET
ao método projects.locations.insightTypes.insights
.
GET https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*} { "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID, }
Substitua:
PROJECT_ID
: o ID do projeto;LOCATION
: use sempre o local chamadoglobal
INSIGHT_TYPE_ID
: sempre use o valorgoogle.compute.firewall.Insight
INSIGHT_ID
: o ID do insight
Marcar um insight como dispensado
Se algum insight não for significativo ou se você quiser ocultá-lo por qualquer outro motivo, poderá descartá-lo. Depois que você descartar um insight, o console do Google Cloud não o exibirá para você ou outros usuários, a menos que você o restaure.
Para marcar um insight como dispensado, faça o seguinte:
Console
No console do Google Cloud, acesse a página Firewall Insights.
Encontre o card apropriado e clique em Ver lista completa.
Selecione as regras que você quer dispensar e clique em Dispensar.
Restaurar um insight dispensado
Se você descartou um insight que mais tarde considera relevante, você ou outro usuário pode restaurá-lo e torná-lo visível no console do Google Cloud.
Para restaurar um insight dispensado, faça o seguinte:
Console
No console do Google Cloud, acesse a página Firewall Insights.
Clique em Ignorar histórico. Em resposta, o console do Google Cloud exibe a página Insights descartados.
Selecione os insights que você quer restaurar e clique em Restaurar.
Exportar insights
Se necessário, é possível exportar insights de regras ocultas e excessivamente permissivas no formato CSV
ou JSON. As informações de Deny rules with hits
não podem ser exportadas porque
são baseadas em métricas do firewall do Stackdriver e não em insights.
Convém exportar insights por um dos seguintes motivos:
- Você precisa importar os dados para outro sistema.
- Você quer acessar os dados enquanto estiver off-line.
- Você pretende desativar o Firewall Insights, mas quer manter o acesso aos insights gerados anteriormente.
Para exportar insights, faça o seguinte:
Console
No console do Google Cloud, acesse a página Firewall Insights.
Clique em Salvar como.
Siga as instruções para escolher um formato para seus insights e fazer o download deles.
Também é possível exportar insights para o BigQuery. Ao exportar insights para o BigQuery, é possível conferir snapshots diários de insights para sua organização. Saiba mais em Exportar recomendações para o BigQuery.