承認済みネットワークを削除してインスタンスのセキュリティを強化する

このページでは、管理者によって適用された constraints/sql.restrictAuthorizedNetworks 組織ポリシーに違反するインスタンスについての、承認済みネットワークの削除に関する推奨事項を表示および実装する方法について説明します。このポリシー違反は、制約を適用する時点でインスタンスに承認済みネットワークがすでに存在する場合に発生します。この Recommender承認済みネットワークの削除と呼ばれます。

この Recommender は、constraints/sql.restrictAuthorizedNetworks 組織ポリシーに違反するインスタンスを毎日プロアクティブに検出し、インスタンスのセキュリティを強化するための分析情報と推奨事項を提供します。これらのインスタンスに関する分析情報と詳細な推奨事項は、Google Cloud コンソール、gcloud CLIRecommender API を使用して表示できます。

組織のポリシーの詳細については、Cloud SQL の組織のポリシーをご覧ください。

始める前に

Recommender API が有効になっていることを確認します。

必要なロールと権限

分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。

タスク ロール
推奨事項を表示する recommender.cloudsqlViewer または cloudsql.admin
推奨事項を適用する cloudsql.editor または cloudsql.admin
IAM ロールの詳細については、IAM の基本ロールと事前定義ロールのリファレンスプロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

推奨事項を一覧表示する

推奨事項を一覧表示する手順は次のとおりです。

コンソール

  1. [おすすめハブ] に移動します。

    おすすめハブに移動

    詳細については、推奨事項の確認をご覧ください。

  2. [Cloud SQL インスタンスの保護] カードで、[すべて表示] をクリックします。[セキュリティに関する推奨事項] ページが表示されます。推奨事項と、その推奨事項が適用されるインスタンスが一覧表示されます。

gcloud

次のように gcloud recommender recommendations list コマンドを実行します。

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように recommendations.list メソッドを呼び出します。

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

分析情報と詳細な推奨事項を表示する

分析情報と詳細な推奨事項を表示する手順は次のとおりです。

コンソール

[セキュリティに関する推奨事項] ページで、インスタンスの推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。

gcloud

次のように gcloud recommender insights list コマンドを実行します。


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように insights.list メソッドを呼び出します。


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

推奨事項を適用する

コンソール

この推奨事項を実装する手順は次のとおりです。

  1. [承認済みネットワークの管理] をクリックします。

  2. Cloud SQL Auth ProxyCloud SQL 言語コネクタを使用するようにクライアントを構成します。

  3. インスタンス上の承認済みネットワークを削除します。

gcloud

この推奨事項を実装する手順は次のとおりです。

  1. Cloud SQL Auth ProxyCloud SQL 言語コネクタを使用するようにクライアントを構成します。

  2. インスタンス上の承認済みネットワークを削除します。

API

この推奨事項を実装する手順は次のとおりです。

  1. Cloud SQL Auth ProxyCloud SQL 言語コネクタを使用するようにクライアントを構成します。

  2. インスタンス上の承認済みネットワークを削除します。

次のステップ