このページでは、管理者によって適用された constraints/sql.restrictPublicIp
組織のポリシーに違反するインスタンスのパブリック IP アクセスの無効化に関する推奨事項を、表示および実装する方法について説明します。このポリシーにより、インスタンスでのパブリック IP の構成が制限されます。ポリシー違反は、制約の適用時に、インスタンスにパブリック IP アクセスがすでに存在している場合に発生します。この Recommender はパブリック IP の無効化と呼ばれます。
この Recommender は、constraints/sql.restrictPublicIp
の組織ポリシーに違反するインスタンスを毎日検出し、インスタンスのセキュリティを強化するための分析情報と推奨事項を提供します。これらのインスタンスに関する分析情報と詳細な推奨事項を表示するには、Google Cloud コンソール、gcloud CLI、Recommender API のいずれかを使用します。
組織のポリシーの詳細については、Cloud SQL の組織のポリシーをご覧ください。
始める前に
Recommender API が有効になっていることを確認します。
必要なロールと権限
分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。
タスク | ロール |
---|---|
推奨事項を表示する | recommender.cloudsqlViewer または cloudsql.admin 。 |
推奨事項を適用する | cloudsql.editor または cloudsql.admin 。 |
推奨事項を一覧表示する
推奨事項を一覧表示する手順は次のとおりです。
コンソール
gcloud
次のように gcloud recommender recommendations list
コマンドを実行します。
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(us-central1 など)。
API
次のように recommendations.list
メソッドを呼び出します。
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1
など)。
分析情報と詳細な推奨事項を表示する
分析情報と詳細な推奨事項を表示する手順は次のとおりです。
コンソール
[セキュリティに関する推奨事項] ページで、インスタンスの推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。
gcloud
次のように gcloud recommender insights list
コマンドを実行します。
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1
など)。
API
次のように insights.list
メソッドを呼び出します。
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1
など)。
推奨事項を適用する
コンソール
この推奨事項を実装する手順は次のとおりです。
[インスタンスの IP 割り当ての管理] をクリックします。
プライベート IP を使用してインスタンスに接続するようにクライアントを構成します。
インスタンスでパブリック IP を無効にします。
gcloud
この推奨事項を実装する手順は次のとおりです。
プライベート IP を使用してインスタンスに接続するようにクライアントを構成します。
インスタンスでパブリック IP を無効にします。
API
この推奨事項を実装する手順は次のとおりです。
プライベート IP を使用してインスタンスに接続するようにクライアントを構成します。
インスタンスでパブリック IP を無効にします。