移除已授權的網路,提升執行個體安全性

本頁說明如何查看及實作相關建議,移除違反管理員強制執行的constraints/sql.restrictAuthorizedNetworks機構政策的執行個體授權網路。如果執行個體在強制執行限制時已有授權網路,就會違反這項政策。這個建議稱為「移除已授權的網路」

這項建議工具每天都會主動偵測違反constraints/sql.restrictAuthorizedNetworks機構政策的執行個體,並提供洞察資訊和建議,協助您提升執行個體安全性。您可以使用 Google Cloud 控制台、gcloud CLIRecommender API,查看這些執行個體的深入分析和詳細建議。

如要進一步瞭解機構政策,請參閱 Cloud SQL 機構政策

事前準備

請務必啟用 Recommender API

必要角色和權限

如要取得查看及使用洞察和建議的權限,請確認您具備必要的身分與存取權管理 (IAM) 角色

Tasks 角色
查看建議 recommender.cloudsqlViewercloudsql.admin
套用建議 cloudsql.editorcloudsql.admin
如要進一步瞭解 IAM 角色,請參閱「IAM 基本和預先定義的角色參考資料」和「管理專案、資料夾和機構的存取權」。

列出建議

如要列出建議,請按照下列步驟操作:

主控台

如要列出執行個體安全性的相關建議,請按照下列步驟操作:

  1. 前往「Cloud SQL 執行個體」頁面。

    前往 Cloud SQL 執行個體

  2. 查看例項表格中的「問題」欄。

或者,請按照下列步驟操作:

  1. 前往建議中心

    前往建議中心

    詳情請參閱「探索最佳化建議」。

  2. 在「所有建議」資訊卡中,按一下「安全性」

gcloud

執行 gcloud recommender recommendations list 指令,如下所示:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1。

API

呼叫 recommendations.list 方法,如下所示:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

查看洞察資料和詳細建議

如要查看洞察資料和詳細建議,請按照下列步驟操作:

主控台

列出建議後,請點選其中一項。 系統會顯示建議面板,其中包含洞察資料和詳細建議。

gcloud

執行 gcloud recommender insights list 指令,如下所示:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

API

呼叫 insights.list 方法,如下所示:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

套用最佳化建議

主控台

如要實作建議,請按照下列步驟操作:

  1. 按一下「管理授權網路」

  2. 將用戶端設為使用 Cloud SQL 驗證 ProxyCloud SQL 語言連接器

  3. 移除執行個體上的授權網路

gcloud

如要實作建議,請按照下列步驟操作:

  1. 將用戶端設為使用 Cloud SQL 驗證 ProxyCloud SQL 語言連接器

  2. 移除執行個體上的授權網路

API

如要實作建議,請按照下列步驟操作:

  1. 將用戶端設為使用 Cloud SQL 驗證 ProxyCloud SQL 語言連接器

  2. 移除執行個體上的授權網路

後續步驟