Auf dieser Seite wird beschrieben, wie Sie Empfehlungen zur Deaktivierung des öffentlichen IP-Zugriffs für Instanzen, die gegen die von Ihrem Administrator erzwungene Organisationsrichtlinie constraints/sql.restrictPublicIp
verstoßen, aufrufen und implementieren. Durch diese Richtlinie wird die Konfiguration öffentlicher IP-Adressen auf Ihren Instanzen eingeschränkt. Der Richtlinienverstoß tritt auf, wenn bereits ein öffentlicher IP-Zugriff für eine Instanz zum Zeitpunkt der Durchsetzung der Einschränkung vorhanden ist. Dieser Recommender heißt Öffentliche IP-Adressen deaktivieren.
Dieser Recommender erkennt täglich die Instanzen, die gegen die constraints/sql.restrictPublicIp
-Organisationsrichtlinie verstoßen, und bietet Statistiken und Empfehlungen zur Verbesserung der Instanzsicherheit. Mit der Google Cloud Console, der gcloud CLI oder der Recommender API können Sie Informationen und detaillierte Empfehlungen zu diesen Instanzen aufrufen.
Weitere Informationen zu Organisationsrichtlinien finden Sie unter Organisationsrichtlinien für Cloud SQL.
Hinweise
Aktivieren Sie die Recommender API.
Erforderliche Rollen und Berechtigungen
Prüfen Sie, ob Sie die erforderlichen IAM-Rollen (Identity and Access Management) haben, um die Berechtigungen zum Aufrufen und Verwenden von Informationen und Empfehlungen zu erhalten.
Aufgaben | Rollen |
---|---|
Empfehlungen ansehen |
recommender.cloudsqlViewer oder
cloudsql.admin .
|
Empfehlungen übernehmen |
cloudsql.editor
oder cloudsql.admin .
|
Empfehlungen auflisten
So listen Sie die Empfehlungen auf:
Console
Rufen Sie den Recommendation Hub auf.
Weitere Informationen finden Sie unter Empfehlungen entdecken.
Klicken Sie auf der Karte Cloud SQL-Instanzen sichern auf Alle ansehen. Die Seite Sicherheitsempfehlungen wird angezeigt. Es werden die Empfehlungen aufgelistet sowie die Instanzen, für die diese Empfehlungen gelten.
gcloud
Führen Sie den Befehl gcloud recommender recommendations list
so aus:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- LOCATION: Eine Region, in der sich die Instanzen befinden, z. B. us-central1
API
Rufen Sie die Methode recommendations.list
so auf:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B.
us-central1
.
Informationen und detaillierte Empfehlungen anzeigen
So rufen Sie Statistiken und detaillierte Empfehlungen auf:
Console
Klicken Sie auf der Seite Sicherheitsempfehlungen auf die Empfehlung für eine Instanz. Der Bereich "Empfehlung" wird angezeigt. Dieser enthält Informationen und detaillierte Empfehlungen.
gcloud
Führen Sie den Befehl gcloud recommender insights list
so aus:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B.
us-central1
.
API
Rufen Sie die Methode insights.list
so auf:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
Ersetzen Sie Folgendes:
- PROJECT_ID: Ihre Projekt-ID.
- LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B.
us-central1
.
Empfehlung anwenden
Console
So implementieren Sie die Empfehlung:
Klicken Sie auf Instanz-IP-Zuweisung verwalten.
Konfigurieren Sie Ihre Clients so, dass sie über eine private IP-Adresse eine Verbindung zur Instanz herstellen.
Deaktivieren Sie öffentliche IP-Adressen für Ihre Instanz.
gcloud
So implementieren Sie die Empfehlung:
Konfigurieren Sie Ihre Clients so, dass sie über eine private IP-Adresse eine Verbindung zur Instanz herstellen.
Deaktivieren Sie öffentliche IP-Adressen für Ihre Instanz.
API
So implementieren Sie die Empfehlung:
Konfigurieren Sie Ihre Clients so, dass sie über eine private IP-Adresse eine Verbindung zur Instanz herstellen.
Deaktivieren Sie öffentliche IP-Adressen für Ihre Instanz.
Nächste Schritte
- Google Cloud-Recommender
- Blog: Maximieren Sie Ihren Cloud-ROI
- Blog: So erreichen Sie mehr mit weniger