Nesta página, descrevemos como visualizar e implementar recomendações sobre
como remover redes autorizadas para instâncias que violam a
política da organização constraints/sql.restrictAuthorizedNetworks
aplicada pelo
administrador. Essa violação da política ocorre quando já existem redes autorizadas para uma instância no momento da aplicação da restrição. Esse recommender é chamado de Remover redes autorizadas.
Todos os dias, esse recomendador
detecta proativamente instâncias que violam a
política da organização constraints/sql.restrictAuthorizedNetworks
e fornece insights e recomendações para melhorar
a segurança da instância. Acesse insights e recomendações detalhadas sobre essas instâncias usando o console do Google Cloud,
a gcloud CLI ou a API Recommender.
Para mais informações sobre as políticas da organização, consulte Políticas da organização do Cloud SQL.
Antes de começar
Papéis e permissões necessárias
Para ter as permissões de visualizar e trabalhar com insights e recomendações, verifique se você tem os papéis do Identity and Access Management (IAM) necessários.
Tarefas | Papéis |
---|---|
Ver recomendações |
recommender.cloudsqlViewer ou
cloudsql.admin .
|
Aplicar recomendações |
cloudsql.editor
ou cloudsql.admin .
|
Listar as recomendações
Para listar as recomendações, siga estas etapas:
Console
Acesse o Hub de recomendações.
Para mais informações, consulte Como explorar as recomendações.
No card Instâncias seguras do Cloud SQL, clique em Ver tudo. A página Recomendações de segurança será exibida. Ela lista as recomendações e as instâncias a que essas recomendações se aplicam.
gcloud
Execute o comando gcloud recommender recommendations list
da seguinte maneira:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região onde as instâncias estão localizadas, como us-central1.
API
Chame o método recommendations.list
da seguinte maneira:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região em que suas instâncias estão localizadas, como
us-central1
.
Ver insights e recomendações detalhadas
Para ver insights e recomendações detalhadas, siga estas etapas:
Console
Na página Recomendações de segurança, clique na recomendação de uma instância. O painel de recomendações é exibido com insights e recomendações detalhadas.
gcloud
Execute o comando gcloud recommender insights list
da seguinte maneira:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região em que suas instâncias estão localizadas, como
us-central1
.
API
Chame o método insights.list
da seguinte maneira:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região em que suas instâncias estão localizadas, como
us-central1
.
Aplicar a recomendação
Console
Para implementar a recomendação, faça o seguinte:
Clique em Gerenciar redes autorizadas.
Configure seus clientes para usar o proxy do Cloud SQL Auth e os conectores da linguagem do Cloud SQL.
Remova as redes autorizadas da instância.
gcloud
Para implementar a recomendação, faça o seguinte:
Configure seus clientes para usar o proxy do Cloud SQL Auth e os conectores da linguagem do Cloud SQL.
Remova as redes autorizadas da instância.
API
Para implementar a recomendação, faça o seguinte:s
Configure seus clientes para usar o proxy do Cloud SQL Auth e os conectores da linguagem do Cloud SQL.
Remova as redes autorizadas da instância.