通过移除已获授权的网络提高实例安全性

本页面介绍如何查看和实施有关为违反管理员强制执行的 constraints/sql.restrictAuthorizedNetworks 组织政策的实例移除已获授权的网络的建议。如果在强制执行限制条件时实例已存在授权网络,则会发生此政策违规。此 recommender 称为移除授权网络

此 Recommender 每天主动检测违反 constraints/sql.restrictAuthorizedNetworks 组织政策的实例,并提供数据分析和建议,以提高实例安全性。您可以使用 Google Cloud 控制台、gcloud CLIRecommender API 查看有关这些实例的数据分析和详细建议。

如需详细了解组织政策,请参阅 Cloud SQL 组织政策

准备工作

请确保启用 Recommender API

所需的角色和权限

如需获得查看和使用数据分析和建议的权限,请确保您具有所需的 Identity and Access Management (IAM) 角色

Tasks 角色
查看建议 recommender.cloudsqlViewercloudsql.admin
采纳建议 cloudsql.editorcloudsql.admin
如需详细了解 IAM 角色,请参阅 IAM 基本角色和预定义角色参考文档以及管理对项目、文件夹和组织的访问权限

列出建议

如需列出建议,请按以下步骤操作:

控制台

  1. 转到 Recommendation Hub

    转到 Recommendation Hub

    如需了解详情,请参阅探索建议

  2. 保护 Cloud SQL 实例卡片中,点击查看全部。此时将显示安全建议页面。它列出了建议以及这些建议适用的实例。

gcloud

运行 gcloud recommender recommendations list 命令,如下所示:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1。

API

调用 recommendations.list 方法,如下所示:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1

查看数据分析和详细建议

如需查看数据分析和详细建议,请按以下步骤操作:

控制台

安全建议页面上,点击某个实例的建议。此时会显示“建议”面板,其中包含数据分析和详细建议。

gcloud

运行 gcloud recommender insights list 命令,如下所示:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1

API

调用 insights.list 方法,如下所示:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1

应用建议

控制台

如需实施建议,请执行以下操作:

  1. 点击管理已获授权的网络

  2. 将客户端配置为使用 Cloud SQL Auth 代理Cloud SQL 语言连接器

  3. 移除实例上的已获授权的网络

gcloud

如需实施建议,请执行以下操作:

  1. 将客户端配置为使用 Cloud SQL Auth 代理Cloud SQL 语言连接器

  2. 移除实例上的已获授权的网络

API

如需实施建议,请执行以下操作:

  1. 将客户端配置为使用 Cloud SQL Auth 代理Cloud SQL 语言连接器

  2. 移除实例上的已获授权的网络

后续步骤