Cette page explique comment afficher et mettre en œuvre des recommandations sur la désactivation de l'accès aux adresses IP publiques pour les instances qui ne respectent pas la règle d'administration constraints/sql.restrictPublicIp appliquée par votre administrateur. Cette règle restreint la configuration d'adresse IP publique sur vos instances. Le non-respect de règles se produit lorsque l'accès aux adresses IP publiques existe déjà pour une instance au moment de l'application de la contrainte. Cet outil de recommandation est appelé Désactiver l'adresse IP publique.
Chaque jour, cet outil de recommandation détecte les instances qui ne respectent pas la règle d'administration constraints/sql.restrictPublicIp et fournit des insights et des recommandations pour améliorer la sécurité de votre instance. Vous pouvez afficher les insights et les recommandations détaillées concernant ces instances à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Recommender.
Pour en savoir plus sur les règles d'administration, consultez la section Règles d'administration Cloud SQL.
Avant de commencer
Assurez-vous d'activer l'API Recommender.
Rôles et autorisations requis
Pour obtenir les autorisations permettant d'afficher et d'utiliser les insights et les recommandations, assurez-vous de disposer des rôles IAM (Identity and Access Management) requis.
| Tâches | Rôles |
|---|---|
| Afficher les recommandations | recommender.cloudsqlViewer ou cloudsql.admin. |
| Appliquer les recommandations | cloudsql.editor ou cloudsql.admin. |
Répertorier les recommandations
Pour répertorier les recommandations, procédez comme suit :
Console
Accédez au centre de recommandations.
Accéder au hub de recommandations
Pour en savoir plus, consultez Explorer les recommandations.
Dans la fiche Instances Cloud SQL sécurisées, cliquez sur Tout afficher. La page Recommandations de sécurité s'affiche. Elle répertorie les recommandations ainsi que les instances auxquelles elles s'appliquent.
gcloud
Exécutez la commande gcloud recommender recommendations list comme suit :
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, telle que us-central1.
API
Appelez la méthode recommendations.list comme suit :
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, par exemple
us-central1.
Afficher les insights et les recommandations détaillées
Pour afficher les insights et les recommandations détaillées, procédez comme suit :
Console
Sur la page Recommandations de sécurité, cliquez sur la recommandation pour une instance. Le panneau de recommandations s'affiche. Il contient des insights et des recommandations détaillées.
gcloud
Exécutez la commande gcloud recommender insights list comme suit :
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, par exemple
us-central1.
API
Appelez la méthode insights.list comme suit :
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, par exemple
us-central1.
Appliquer la recommandation
Console
Pour mettre en œuvre la recommandation, procédez comme suit :
Cliquez sur Gérer l'attribution des adresses IP d'instance.
Configurez vos clients pour se connecter à l'instance à l'aide d'une adresse IP privée.
Désactivez l'adresse IP publique sur votre instance.
gcloud
Pour mettre en œuvre la recommandation, procédez comme suit :
Configurez vos clients pour se connecter à l'instance à l'aide d'une adresse IP privée.
Désactivez l'adresse IP publique sur votre instance.
API
Pour mettre en œuvre la recommandation, procédez comme suit :
Configurez vos clients pour se connecter à l'instance à l'aide d'une adresse IP privée.
Désactivez l'adresse IP publique sur votre instance.
Étapes suivantes
- Outils de recommandation Google Cloud
- Blog : Optimisez votre ROI Cloud.
- Blog : Plus de possibilités à moindre coût.