Migliora la sicurezza dell'istanza abilitando il controllo dei database

Questa pagina descrive come visualizzare e implementare i consigli per attivare il controllo del database per istanze importanti (ad alta disponibilità e i nomi o le etichette indicano che si tratta di istanze di produzione) che non registrano le connessioni e le istruzioni degli utenti. Il controllo del database consente di monitorare azioni utente specifiche nel database al fine di migliorare la sicurezza e la conformità. Questo recommender si chiama Attiva il controllo dei database.

Ogni giorno, questo motore per suggerimenti rileva in modo proattivo le istanze importanti che non Registra le connessioni e le dichiarazioni degli utenti e fornisce approfondimenti e consigli per migliorare la sicurezza e la conformità delle istanze. Puoi visualizzare approfondimenti e suggerimenti dettagliati su queste istanze usando la console Google Cloud, gcloud CLI o l'API Recommender.

.

Prima di iniziare

Assicurati di abilitare l'API Recommender.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni per visualizzare e utilizzare insight e suggerimenti, assicurati di disporre dei ruoli IAM (Identity and Access Management) richiesti.

Tasks Ruoli
Visualizza i suggerimenti recommender.cloudsqlViewer o cloudsql.admin.
Applicare i consigli cloudsql.editor o cloudsql.admin.
Per saperne di più sui ruoli IAM, consulta Riferimento ai ruoli di base e predefiniti IAM e Gestire l'accesso a progetti, cartelle e organizzazioni.

Elenca i consigli

Per elencare i consigli:

Console

  1. Vai all'hub dei suggerimenti.

    Vai all'hub dei suggerimenti

    Per saperne di più, consulta Esplorare i consigli.

  2. Nella scheda Istanze Cloud SQL sicure, fai clic su Visualizza tutto. Viene visualizzata la pagina Consigli per la sicurezza. Elenca i consigli insieme alle istanze a cui si applicano.

gcloud

Esegui il comando gcloud recommender recommendations list come segue:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=ENABLE_DATABASE_AUDITING

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

API

Chiama il metodo recommendations.list come segue:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ENABLE_DATABASE_AUDITING

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.

Visualizzare approfondimenti e consigli dettagliati

Per visualizzare approfondimenti e consigli dettagliati:

Console

Nella pagina Consigli per la sicurezza, fai clic sul consiglio per un'istanza. Viene visualizzato il riquadro dei consigli, che contiene approfondimenti e consigli dettagliati.

gcloud

Esegui il comando gcloud recommender insights list come segue:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=DATABASE_AUDITING_NOT_ENABLED

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION : una regione in cui si trovano le istanze, ad esempio us-central1.

API

Chiama il metodo insights.list come segue:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=DATABASE_AUDITING_NOT_ENABLED

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

Applica il consiglio

Console

Per implementare il consiglio, fai clic su Modifica istanza e abilita il controllo del database nell'istanza.

gcloud

Per implementare il consiglio, abilita il controllo del database nell'istanza.

API

Per implementare il suggerimento, abilita il controllo dei database sull'istanza.

Passaggi successivi