공개 IP를 중지하여 인스턴스 보안 개선

이 페이지에서는 관리자가 시행한 constraints/sql.restrictPublicIp 조직 정책을 위반하는 인스턴스에서 공개 IP 액세스를 중지하는 방법에 대한 추천을 확인하고 구현하는 방법을 설명합니다. 이 정책은 인스턴스의 공개 IP 구성을 제한합니다. 제약조건을 시행할 때 인스턴스에 대한 공개 IP 액세스가 이미 존재하는 경우에 이러한 정책 위반이 발생합니다. 이 추천자공개 IP 사용 중지라고 부릅니다.

매일 이 추천자가 constraints/sql.restrictPublicIp 조직 정책을 위반하는 인스턴스를 감지하고 인스턴스 보안을 개선하기 위한 통계와 추천을 제공합니다. Google Cloud 콘솔, gcloud CLI, Recommender API를 사용하여 이러한 인스턴스에 대한 통계와 자세한 추천을 확인할 수 있습니다.

조직 정책에 대한 자세한 내용은 Cloud SQL 조직 정책을 참조하세요.

시작하기 전에

Recommender API를 사용 설정했는지 확인합니다.

필수 역할 및 권한

통계와 추천을 보고 사용할 수 있는 권한을 얻으려면 필요한 Identity and Access Management(IAM) 역할이 있는지 확인합니다.

할 일 목록 역할
추천 보기 recommender.cloudsqlViewer 또는 cloudsql.admin.
권장사항 적용 cloudsql.editor 또는 cloudsql.admin.
IAM 역할에 대한 자세한 내용은 IAM 기본 및 사전 정의된 역할 참조프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

추천 나열

추천을 나열하려면 다음 단계를 수행합니다.

콘솔

  1. 권장사항 허브로 이동합니다.

    권장사항 허브로 이동

    자세한 내용은 추천 살펴보기를 참조하세요.

  2. 보안 Cloud SQL 인스턴스 카드에서 모두 보기를 클릭합니다. 보안 추천 페이지가 나타납니다. 추천과 함께 이러한 추천이 적용되는 인스턴스가 나열됩니다.

gcloud

다음과 같이 gcloud recommender recommendations list 명령어를 실행합니다.

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID입니다.
  • LOCATION: 인스턴스가 있는 리전입니다(예: us-central1).

API

다음과 같이 recommendations.list 메서드를 호출합니다.

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID입니다.
  • LOCATION: 인스턴스가 있는 리전입니다(예: us-central1).

통계 및 자세한 권장사항 보기

통계와 자세한 추천을 보려면 다음 단계를 수행합니다.

콘솔

보안 추천 페이지에서 인스턴스에 대한 추천을 클릭합니다. 통계와 자세한 추천이 포함된 추천 패널이 표시됩니다.

gcloud

다음과 같이 gcloud recommender insights list 명령어를 실행합니다.


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID입니다.
  • LOCATION: 인스턴스가 있는 리전입니다(예: us-central1).

API

다음과 같이 insights.list 메서드를 호출합니다.


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID입니다.
  • LOCATION: 인스턴스가 있는 리전입니다(예: us-central1).

추천 적용

콘솔

추천을 구현하려면 다음 안내를 따르세요.

  1. 인스턴스 IP 할당 관리를 클릭합니다.

  2. 비공개 IP를 사용하여 인스턴스에 연결하도록 클라이언트를 구성합니다.

  3. 인스턴스에서 공개 IP를 중지합니다.

gcloud

추천을 구현하려면 다음 안내를 따르세요.

  1. 비공개 IP를 사용하여 인스턴스에 연결하도록 클라이언트를 구성합니다.

  2. 인스턴스에서 공개 IP를 중지합니다.

API

추천을 구현하려면 다음 안내를 따르세요.

  1. 비공개 IP를 사용하여 인스턴스에 연결하도록 클라이언트를 구성합니다.

  2. 인스턴스에서 공개 IP를 중지합니다.

다음 단계