Advisory Notifications は、組織内の適切な関係者が Google Cloud コンソールでセキュリティとプライバシーに関する重要なお知らせを表示できるように、IAM ポリシーの推奨事項を提供します。これらの推奨事項は、重要な連絡先の設定と IAM ポリシーを分析して自動的に生成されます。これらの推奨事項に沿って、セキュリティ管理者がセキュリティ通知を受け取り、迅速に対処できるようにします。
アドバイザリ通知の推奨事項の仕組み
Advisory Notifications の推奨事項は、重要な連絡先と IAM ポリシーの構成をモニタリングし、前日のデータに基づいて推奨事項を作成します。
推奨事項には次のものが含まれます。
通知を表示する権限を持つユーザーがいない場合、Advisory Notifications では、組織内の適切な関係者にアクセス権を付与することをおすすめします。
プリンシパルがセキュリティの重要な連絡先として登録されているにもかかわらず、Google Cloud コンソールで Advisory Notifications を表示する権限がない場合、Advisory Notifications はプリンシパルにアクセス権を付与することを推奨します。アドバイザリー通知の推奨事項では、カスタムロールは考慮されません。カスタムロールを介してプリンシパルに Advisory Notifications の権限を付与している場合は、推奨事項を無視するか、閉じます。
Advisory Notifications の推奨事項を表示する
アドバイザリー通知では、Google Cloud CLI、API、BigQuery エクスポート機能を使用して、Recommender から分析情報と推奨事項を取得できます。
始める前に
分析情報と推奨事項を表示する前に、次のことを行う必要があります。
- Recommender API を有効にする必要があります。1 つの課金プロジェクトで API を有効にします。gcloud コマンドと API リクエストで請求プロジェクトを指定すると、この請求プロジェクトを使用して、他のプロジェクト、組織全体、または請求先アカウントの推奨事項と分析情報を調べることができます。
- 必要な権限があることを確認する
推奨事項を表示する
gcloud
推奨事項を表示するには、次の gcloud recommender recommendations list コマンドを使用します。
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
次のように置き換えます。
ORGANIZATION_ID: 組織の ID。FORMAT: 目的の出力形式。たとえば、yaml、text、jsonなどです。使用可能なすべての値については、プロジェクションをご覧ください。csv、diff、get、table、valueの値には、空でない射影が必要です。QUOTA_PROJECT: 割り当てと課金に使用するプロジェクトの ID。
gcloud recommender recommendations list コマンドの出力には次のフィールドが含まれます。
name推奨の名前。description: 人が読める形式での推奨の説明associatedInsights: 関連する分析情報のリスト。
これらの推奨事項に関連する分析情報を表示することもできます。分析情報を表示するには、次の gcloud recommender insights list コマンドを使用します。
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
次のように置き換えます。
ORGANIZATION_ID: 組織の ID。FORMAT: 目的の出力形式。たとえば、yaml、text、jsonなどです。使用可能なすべての値については、プロジェクションをご覧ください。csv、diff、get、table、valueの値には、空でない射影が必要です。QUOTA_PROJECT: 割り当てと課金に使用するプロジェクトの ID。
gcloud recommender insights list コマンドの出力には次のフィールドが含まれます。
name推奨の名前。description: 人が読める形式の分析情報の説明。associatedRecommendations: 関連する推奨事項のリスト。
詳細については、Recommender のドキュメントをご覧ください。
API
推奨事項を表示するには、google.cloud.security.GeneralRecommender recommender ID で Recommender API を使用します。
次の bash スクリプトの例では、curl リクエストに対して、アプリケーションのデフォルト認証情報から返されたアクセス トークンを使用します。アプリケーションのデフォルト認証情報の設定については、アプリケーションのデフォルト認証情報に認証情報を提供するをご覧ください。
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
次のように置き換えます。
ORGANIZATION_ID: 組織の ID。QUOTA_PROJECT: 割り当てと課金に使用するプロジェクトの ID。
レスポンスには次のフィールドがあります。
name推奨の名前。description: 人が読める形式での推奨の説明。associatedInsights: 関連する分析情報のリスト。
分析情報を表示するには、google.cloud.security.GeneralInsight 分析情報の種類で Recommender API を使用します。
次の bash スクリプトの例では、curl リクエストに対して、アプリケーションのデフォルト認証情報から返されたアクセス トークンを使用します。アプリケーションのデフォルト認証情報の設定については、アプリケーションのデフォルト認証情報に認証情報を提供するをご覧ください。
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
次のように置き換えます。
ORGANIZATION_ID: 組織の ID。QUOTA_PROJECT: 割り当てと課金に使用するプロジェクトの ID。
レスポンスには次のフィールドがあります。
name推奨の名前。description: 人が読める形式での推奨の説明。associatedRecommendations: 関連する推奨事項のリスト。
詳細については、Recommender API の使用をご覧ください。
BigQuery へのエクスポート
推奨事項と分析情報は、BigQuery テーブルに一括でエクスポートすることもできます。詳しくは、BigQuery Export に関するドキュメントをご覧ください。
Advisory Notifications の推奨事項に対応する
以降のセクションでは、特定のアドバイザリー通知の推奨事項に対応するための具体的なアドバイスを提供します。各セクションは、1 つの Advisory Notifications Recommender サブタイプに対応しています。次のリストに、Recommender サブタイプのセクションを示します。
Advisory Notifications へのアクセス権の付与
このセクションでは、SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS Recommender サブタイプの推奨事項に対応する方法について説明します。
この推奨事項は、セキュリティとすべてのカテゴリの一部の重要な連絡先が Advisory Notifications にアクセスできないために表示されています。つまり、これらの連絡先にはメール通知が届きますが、 Google Cloud コンソールで通知を確認することはできません。
親グループやドメインを介してアクセス権を付与するのではなく、各エッセンシャル コンタクトにアドバイザリ通知へのアクセス権を付与することをおすすめします。各 Essential Contact にアクセス権を付与すると、将来アクセス権が誤って取り消される可能性が低くなります。また、自己文書化された Advisory Notifications 閲覧者のロールを使用して、バインディングが存在する理由を明確にすることもできます。
この推奨事項を適用する手順は次のとおりです。
重要な連絡先の設定で、組織レベルのセキュリティに関する重要な連絡先をすべて確認します。これらは、[Security] カテゴリと [All] カテゴリの連絡先です。
Identity and Access Management 管理者ページで、Advisory Notifications 閲覧者(
roles/advisorynotifications.viewer)ロールを割り当てて、各連絡先に Advisory Notifications を表示する権限を付与します。Advisory Notifications の表示に必要な特定の権限については、Advisory Notifications の表示をご覧ください。
Advisory Notifications 閲覧者の構成
このセクションでは、NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS Recommender サブタイプの推奨事項に対応する方法について説明します。
この最適化案は、組織内の Advisory Notifications にアクセスできるプリンシパルが特定されなかったため表示されています。
セキュリティとプライバシーに関する重要な通知を受け取れるように、重要な連絡先と Advisory Notifications を構成することをおすすめします。
この推奨事項を適用する手順は次のとおりです。
組織レベルのセキュリティに関する重要な連絡先は、[重要な連絡先] ページで構成します。
Identity and Access Management 管理ページで Advisory Notifications 閲覧者ロール(
roles/advisorynotifications.viewer)を割り当てて、各連絡先に Advisory Notifications を表示する権限を付与します。Advisory Notifications の表示に必要な特定の権限については、Advisory Notifications の表示をご覧ください。
重要な連絡先を使用しない場合でも、セキュリティ管理者など、組織内の適切な関係者に Advisory Notifications の閲覧権限を付与することをおすすめします。重要な連絡先を構成せずに Advisory Notifications の閲覧権限を付与しても、関係者が Advisory Notifications からメール通知を受け取るとは限りません。
料金
料金については、Recommender の料金をご覧ください。
次のステップ
- 詳しくは、アドバイザリ通知をご覧ください。
- Recommender とその API を学習します。