パブリック IP を無効にしてインスタンスのセキュリティを強化する

このページでは、管理者によって適用された constraints/sql.restrictPublicIp 組織のポリシーに違反するインスタンスのパブリック IP アクセスの無効化に関する推奨事項を、表示および実装する方法について説明します。このポリシーにより、インスタンスでのパブリック IP の構成が制限されます。ポリシー違反は、制約の適用時に、インスタンスにパブリック IP アクセスがすでに存在している場合に発生します。この Recommenderパブリック IP の無効化と呼ばれます。

この Recommender は、constraints/sql.restrictPublicIp の組織ポリシーに違反するインスタンスを毎日検出し、インスタンスのセキュリティを強化するための分析情報と推奨事項を提供します。これらのインスタンスに関する分析情報と詳細な推奨事項を表示するには、Google Cloud コンソール、gcloud CLIRecommender API のいずれかを使用します。

組織のポリシーの詳細については、Cloud SQL の組織のポリシーをご覧ください。

始める前に

Recommender API が有効になっていることを確認します。

必要なロールと権限

分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。

タスク ロール
推奨事項を表示する recommender.cloudsqlViewer または cloudsql.admin
推奨事項を適用する cloudsql.editor または cloudsql.admin
IAM ロールの詳細については、IAM の基本ロールと事前定義ロールのリファレンスプロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

推奨事項を一覧取得する

推奨事項を一覧取得する手順は次のとおりです。

コンソール

  1. [おすすめハブ] に移動します。

    おすすめハブに移動

    詳細については、推奨事項の確認をご覧ください。

  2. [Cloud SQL インスタンスの保護] カードで、[すべて表示] をクリックします。[セキュリティに関する推奨事項] ページが表示されます。推奨事項と、その推奨事項が適用されるインスタンスが一覧表示されます。

gcloud

次のように gcloud recommender recommendations list コマンドを実行します。

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように recommendations.list メソッドを呼び出します。

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

分析情報と詳細な推奨事項を表示する

分析情報と詳細な推奨事項を表示する手順は次のとおりです。

コンソール

[セキュリティに関する推奨事項] ページで、インスタンスの推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。

gcloud

次のように gcloud recommender insights list コマンドを実行します。


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように insights.list メソッドを呼び出します。


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

推奨事項を適用する

コンソール

この推奨事項を実装する手順は次のとおりです。

  1. [インスタンスの IP 割り当ての管理] をクリックします。

  2. プライベート IP を使用してインスタンスに接続するようにクライアントを構成します。

  3. インスタンスでパブリック IP を無効にします

gcloud

この推奨事項を実装する手順は次のとおりです。

  1. プライベート IP を使用してインスタンスに接続するようにクライアントを構成します。

  2. インスタンスでパブリック IP を無効にします

API

この推奨事項を実装する手順は次のとおりです。

  1. プライベート IP を使用してインスタンスに接続するようにクライアントを構成します。

  2. インスタンスでパブリック IP を無効にします

次のステップ