Migliora la sicurezza dell'istanza disabilitando l'IP pubblico

In questa pagina viene descritto come visualizzare e implementare i consigli su la disabilitazione dell'accesso IP pubblico per le istanze che violano constraints/sql.restrictPublicIp criterio dell'organizzazione applicato dal tuo amministratore. Questo criterio limita la configurazione dell'IP pubblico nelle istanze. La violazione dei criteri si verifica quando esiste già l'accesso IP pubblico per un'istanza al momento dell'applicazione del vincolo. Questo strumento per suggerimenti è denominato Disabilita IP pubblico.

Ogni giorno, questo motore per suggerimenti rileva le istanze che violano criterio dell'organizzazione di constraints/sql.restrictPublicIp e fornisce approfondimenti e consigli per migliorare della sicurezza dell'istanza. Puoi visualizzare insight e suggerimenti dettagliati su queste istanze utilizzando la console Google Cloud, gcloud CLI o l'API Recommender.

Per ulteriori informazioni sui criteri dell'organizzazione, consulta Criteri dell'organizzazione Cloud SQL.

Prima di iniziare

Assicurati di abilitare l'API Recommender.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni per visualizzare e utilizzare approfondimenti e consigli, assicurati di disporre dei ruoli IAM (Identity and Access Management) necessari.

Tasks Ruoli
Visualizza i suggerimenti recommender.cloudsqlViewer o cloudsql.admin.
Applica consigli cloudsql.editor o cloudsql.admin.
Per ulteriori informazioni sui ruoli IAM, consulta Riferimento per i ruoli IAM di base e predefiniti e Gestire l'accesso a progetti, cartelle e organizzazioni.

Elenca i consigli

Per elencare i consigli:

Console

  1. Vai all'hub dei suggerimenti.

    Vai all'hub dei suggerimenti

    Per saperne di più, consulta Esplorare i consigli.

  2. Nella scheda Istanze Cloud SQL protette, fai clic su Visualizza tutto. Viene visualizzata la pagina Consigli per la sicurezza. Elenca i consigli insieme alle istanze a cui si applicano.

gcloud

Esegui il comando gcloud recommender recommendations list come segue:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

API

Chiama il metodo recommendations.list come segue:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

Visualizza approfondimenti e consigli dettagliati

Per visualizzare approfondimenti e consigli dettagliati:

Console

Nella pagina Consigli per la sicurezza, fai clic sul consiglio per un'istanza. Viene visualizzato il riquadro dei consigli, che contiene approfondimenti e consigli dettagliati.

gcloud

Esegui il comando gcloud recommender insights list come segue:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION : una regione in cui si trovano le istanze, ad esempio us-central1.

API

Chiama il metodo insights.list come segue:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto.
  • LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.

Applica il consiglio

Console

Per implementare il consiglio, svolgi i seguenti passaggi:

  1. Fai clic su Gestisci assegnazione IP dell'istanza.

  2. Configura i client per la connessione all'istanza tramite IP privato.

  3. Disattiva l'IP pubblico sulla tua istanza.

gcloud

Per implementare il consiglio, svolgi i seguenti passaggi:

  1. Configura i client in modo che si connettano all'istanza tramite IP privato.

  2. Disabilita l'IP pubblico sulla tua istanza.

API

Per implementare il consiglio, svolgi i seguenti passaggi:

  1. Configura i client in modo che si connettano all'istanza tramite IP privato.

  2. Disattiva l'IP pubblico sulla tua istanza.

Passaggi successivi