In questa pagina viene descritto come visualizzare e implementare i consigli su
la disabilitazione dell'accesso IP pubblico per le istanze che violano
constraints/sql.restrictPublicIp
criterio dell'organizzazione applicato dal tuo
amministratore. Questo criterio limita la configurazione dell'IP pubblico nelle istanze. La violazione dei criteri si verifica quando esiste già l'accesso IP pubblico per un'istanza al momento dell'applicazione del vincolo. Questo strumento per suggerimenti è denominato Disabilita IP pubblico.
Ogni giorno, questo motore per suggerimenti rileva le istanze che violano
criterio dell'organizzazione di constraints/sql.restrictPublicIp
e fornisce approfondimenti e consigli per migliorare
della sicurezza dell'istanza. Puoi visualizzare approfondimenti e consigli dettagliati su queste istanze utilizzando la console Google Cloud, gcloud CLI o l'API Recommender.
Per saperne di più sui criteri dell'organizzazione, vedi Criteri dell'organizzazione di Cloud SQL.
Prima di iniziare
Assicurati di abilitare l'API Recommender.
Ruoli e autorizzazioni richiesti
Per ottenere le autorizzazioni per visualizzare e utilizzare approfondimenti e consigli, assicurati di disporre dei ruoli IAM (Identity and Access Management) necessari.
Tasks | Ruoli |
---|---|
Visualizza i suggerimenti |
recommender.cloudsqlViewer o
cloudsql.admin .
|
Applicare i consigli |
cloudsql.editor
o cloudsql.admin .
|
Elenca i consigli
Per elencare i consigli:
Console
Vai all'hub dei suggerimenti.
Per ulteriori informazioni, consulta la sezione Esplorazione dei suggerimenti.
Nella scheda Istanze Cloud SQL sicure, fai clic su Visualizza tutto. Viene visualizzata la pagina Consigli per la sicurezza. Elenca i consigli insieme alle istanze a cui si applicano.
gcloud
Esegui il comando gcloud recommender recommendations list
come segue:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
Sostituisci quanto segue:
- PROJECT_ID: l'ID del tuo progetto.
- LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.
API
Chiama il metodo recommendations.list
come segue:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
Sostituisci quanto segue:
- PROJECT_ID: l'ID del tuo progetto.
- LOCATION: una regione in cui si trovano le istanze, ad esempio
us-central1
.
Visualizza approfondimenti e consigli dettagliati
Per visualizzare approfondimenti e consigli dettagliati:
Console
Nella pagina Consigli per la sicurezza, fai clic sul consiglio per un'istanza. Viene visualizzato il riquadro dei consigli, che contiene approfondimenti e consigli dettagliati.
gcloud
Esegui il comando gcloud recommender insights list
come segue:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
Sostituisci quanto segue:
- PROJECT_ID: l'ID del tuo progetto.
- LOCATION: una regione in cui si trovano le tue istanze, ad esempio
us-central1
.
API
Chiama il metodo insights.list
come segue:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
Sostituisci quanto segue:
- PROJECT_ID: l'ID del tuo progetto.
- LOCATION: una regione in cui si trovano le tue istanze, ad esempio
us-central1
.
Applica il consiglio
Console
Per implementare il consiglio, svolgi i seguenti passaggi:
Fai clic su Gestisci assegnazione IP dell'istanza.
Configura i client in modo che si connettano all'istanza tramite IP privato.
Disabilita l'IP pubblico sulla tua istanza.
gcloud
Per implementare il suggerimento:
Configura i client per la connessione all'istanza tramite IP privato.
Disabilita l'IP pubblico sulla tua istanza.
API
Per implementare il consiglio, svolgi i seguenti passaggi:
Configura i client in modo che si connettano all'istanza tramite IP privato.
Disattiva l'IP pubblico sulla tua istanza.
Passaggi successivi
- Suggerimenti per Google Cloud
- Post del blog: massimizza il ROI del cloud
- Post del blog: fare di più con meno