Recommender で Cloud Run サービスを保護する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Recommender は、ヒューリスティック メソッド、機械学習、現在のリソースの使用量に基づいて、Google Cloud でリソースを使用するための提案と分析情報を自動的に提供するサービスです。各推奨事項にはリンクが含まれています。クリックすると、サービスに対して推奨が有効になります。

このトピックでは、Recommender を使用して次の最適化を行い、セキュリティを強化する方法について説明します。

  • Cloud Run サービスのサービス アカウント。これにより、サービス アカウントに必要最小限の権限セットが設定されます。
  • (プレビュー)環境変数に含まれる次の項目のセキュリティ:

    • パスワード
    • API キー
    • Google アプリケーション認証情報

Google では、これらの環境変数に含まれる値の検証を行いません。代わりに、次のように変数のキー名をチェックします。

  • 大文字の KEY を含む環境変数(API_KEYAPIKEY など)
  • PASSWORD で終わる大文字の環境変数
  • GOOGLE_APPLICATION_CREDENTIALS という環境変数

サービスの Recommender のフラグと実行内容

次の表に、Recommender で検出される内容と対処法を示します。

推奨事項 アクション
サービス アカウントに必要な権限よりも多くの権限が付与されている可能性があります。 Recommender により、最小限の権限セットで新しいサービス アカウントを構成するように指示されます。
環境変数にパスワードが含まれている可能性があります。 Recommender により、パスワードを Secret Manager に移動するように指示されます。
環境変数に API キーが含まれている可能性があります。 Recommender により、API キーを Secret Manager に移動するように指示されます。
環境変数に Google アプリケーションの認証情報が含まれている可能性があります。 Recommender により、これをサービス ID に置き換えるように指示されます。

デプロイ後の推奨事項の提供

Recommender は、デプロイされてから一定の期間(通常は 1 日)が経過した後、サービスに対する推奨事項を自動的に提供します。この期間の終了後、Google Cloud コンソールの Cloud Run サービスリストRecommendation Hub に、サービスに関する推奨事項が表示されます。

別の推奨事項の使用

Cloud Run UI では、このページで紹介した推奨事項を使用するだけでなく、以下からの推奨事項も利用できます。

Cloud Run で使用可能なレコメンデーションの表示と承諾

Cloud Run ユーザー インターフェースでレコメンデーションを表示して承諾するには:

  1. Cloud Run に移動します

  2. [推奨事項] 列に項目があるサービスを見つけます。

  3. [推奨事項] という見出しの下にあるサービスの [セキュリティ] アイコンをクリックし、サービスの推奨事項ペインを表示します。

  4. ペインで、サービスに関する分析情報と推奨事項を確認します。

  5. 推奨事項を受け入れる場合は、ペインの下部にあるボタンをクリックして、推奨事項によって提案された変更を行います。

  6. 手順とドキュメントを参照して、Cloud Run サービスに必要な変更を行います。

Recommendation Hub での推奨事項の表示

また、Recommendation Hub でレコメンデーションを確認することもできます。詳しくは、Recommendation Hub のスタートガイドのドキュメントをご覧ください。