Migliora la sicurezza dell'istanza ruotando i certificati del server

Questa pagina descrive come visualizzare e implementare i suggerimenti relativi alla rotazione dei certificati del server per le istanze i cui certificati del server stanno per scadere entro 30 giorni. Se il certificato del server di un'istanza sta per scadere entro 30 giorni, i client che utilizzano questo certificato non saranno in grado di connettersi in modo sicuro all'istanza, rendendoli vulnerabili a violazioni della sicurezza. Questo consigli si chiama Ruota il certificato del server.

Ogni giorno, questo sistema di suggerimenti controlla le istanze per i certificati in scadenza e fornisce approfondimenti e suggerimenti per migliorare la sicurezza delle istanze. Puoi visualizzare gli approfondimenti e i suggerimenti dettagliati su queste istanze utilizzando la console Google Cloud ,gcloud CLI o l'API Recommender.

Prima di iniziare

Assicurati di abilitare l'API Recommender.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni per visualizzare e utilizzare approfondimenti e consigli, assicurati di disporre dei ruoli Identity and Access Management (IAM) necessari.

Tasks Ruoli
Visualizza i suggerimenti recommender.cloudsqlViewer o cloudsql.admin.
Applica consigli cloudsql.editor o cloudsql.admin.
Per saperne di più sui ruoli IAM, consulta Riferimento ai ruoli di base e predefiniti IAM e Gestire l'accesso a progetti, cartelle e organizzazioni.

Elenca i consigli

Per elencare i consigli:

Console

Per elencare i consigli sulla sicurezza delle istanze:

  1. Vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Visualizza la colonna Problemi nella tabella delle istanze.

In alternativa, segui questi passaggi:

  1. Vai all'hub dei suggerimenti.

    Vai all'hub dei suggerimenti

    Per saperne di più, consulta la sezione Esplorare i consigli.

  2. Nella scheda Tutti i suggerimenti, fai clic su Sicurezza.

gcloud

Esegui il comando gcloud recommender recommendations list come segue:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=ROTATE_SERVER_CERT

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

API

Chiama il metodo recommendations.list come segue:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ROTATE_SERVER_CERT

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

Visualizzare approfondimenti e consigli dettagliati

Per visualizzare approfondimenti e consigli dettagliati:

Console

Dopo aver elencato i consigli, fai clic su uno di essi. Viene visualizzato il riquadro dei suggerimenti, che contiene approfondimenti e suggerimenti dettagliati.

gcloud

Esegui il comando gcloud recommender insights list come segue:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=SERVER_CERT_EXPIRING

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto.
  • LOCATION : una regione in cui si trovano le istanze, ad esempio us-central1.

API

Chiama il metodo insights.list come segue:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=SERVER_CERT_EXPIRING

Sostituisci quanto segue:

  • PROJECT_ID: il tuo ID progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

Applica il consiglio.

Console

Per implementare il consiglio, fai clic su Gestisci certificati server e ruota i certificati server nella tua istanza.

gcloud

Per implementare il consiglio, ruota i certificati del server sulla tua istanza.

API

Per implementare il consiglio, ruota i certificati del server sulla tua istanza.

Passaggi successivi