As Notificações consultivas oferecem recomendações de políticas do IAM para garantir que as partes certas da sua organização tenham acesso para conferir as notificações críticas de segurança e privacidade no Google Cloud consol. Essas recomendações são geradas automaticamente pela análise da configuração dos Contatos essenciais e da política do IAM. Use estas recomendações para garantir que os administradores de segurança possam receber e resolver rapidamente as notificações de segurança.
Como as recomendações de Notificações consultivas funcionam
As recomendações de Notificações consultivas monitoram as configurações dos Contatos essenciais e da política do IAM e fazem recomendações com base nos dados do dia anterior.
As recomendações incluem o seguinte:
Se nenhum usuário tiver permissão para conferir notificações, as Notificações consultivas recomendam conceder acesso às partes apropriadas da sua organização.
Se um principal estiver listado como um Contato essencial de segurança, mas não tiver permissão para conferir as Notificações consultivas no Google Cloud console, as Notificações consultivas recomendam conceder acesso ao principal. As recomendações de Notificações consultivas não consideram papéis personalizados. Se você estiver concedendo permissão a um principal para Notificações consultivas por meio de uma função personalizada, ignore ou dispense a recomendação.
Conferir recomendações de Notificações consultivas
As Notificações consultivas disponibilizam insights e recomendações pelo Recommender usando a Google Cloud CLI, a API ou o recurso de exportação do BigQuery.
Antes de começar
Antes de ver os insights e recomendações, faça o seguinte:
- É preciso ativar a API Recommender. Você só precisa ativar a API em um único projeto de faturamento. É possível usar esse mesmo projeto de faturamento para examinar as recomendações e insights de outros projetos, da organização inteira ou da conta de faturamento, especificando o projeto de faturamento nos comandos do gcloud e nas solicitações da API.
- Verifique se você tem as permissões necessárias.
Ver recomendações
gcloud
Para conferir suas recomendações, use o seguinte gcloud recommender recommendations list
comando:
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Substitua:
ORGANIZATION_ID: o ID da organização.FORMAT: o formato de saída de sua preferência. Por exemplo,yaml,textejson. Para todos os valores possíveis, consulte Projeções. Os valorescsv,diff,get,table, evalueexigem projeções não vazias .QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A saída do comando gcloud recommender recommendations list inclui os seguintes campos:
name: o nome da recomendação.description: uma explicação legível da recomendação.associatedInsights: uma lista de insights associados.
Também é possível conferir os insights associados a essas recomendações. Para conferir seus insights, use o gcloud recommender insights list
comando abaixo.
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
Substitua:
ORGANIZATION_ID: o ID da organização.FORMAT: o formato de saída de sua preferência. Por exemplo,yaml,textejson. Para todos os valores possíveis, consulte Projeções. Os valorescsv,diff,get,table, evalueexigem projeções não vazias .QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A saída do comando gcloud recommender insights list inclui os seguintes campos:
name: o nome da recomendação.description: uma explicação legível do insight.associatedRecommendations: uma lista de recomendações associadas.
Para mais informações, consulte os documentos do Recommender.
API
Para conferir suas recomendações, use a
API Recommender com
o google.cloud.security.GeneralRecommender ID do recomendador.
O script bash de exemplo a seguir usa um token de acesso retornado por
Application Default Credentials,
para uma solicitação de curl. Para informações sobre como configurar o Application
Default Credentials, consulte
Fornecer credenciais para o Application Default Credentials.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
Substitua:
ORGANIZATION_ID: o ID da organização.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A resposta inclui os campos a seguir:
name: o nome da recomendação.description: uma explicação legível da recomendação.associatedInsights: uma lista de insights associados.
Para conferir seus insights, use a
API Recommender com
o tipo de insight google.cloud.security.GeneralInsight.
O script bash de exemplo a seguir usa um token de acesso retornado por
Application Default Credentials,
para uma solicitação de curl. Para informações sobre como configurar o Application
Default Credentials, consulte
Fornecer credenciais para o Application Default Credentials.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
Substitua:
ORGANIZATION_ID: o ID da organização.QUOTA_PROJECT: o ID do projeto a ser usado para cota e faturamento.
A resposta inclui os campos a seguir:
name: o nome da recomendação.description: uma explicação legível da recomendação.associatedRecommendations: uma lista de recomendações associadas.
Para mais informações, consulte Como usar a API Recommender.
Exportação para o BigQuery
As recomendações e os insights também podem ser exportados em massa para uma tabela do BigQuery. Para mais detalhes, consulte a documentação do BigQuery Export.
Agir de acordo com as recomendações de Notificações consultivas
As seções a seguir fornecem conselhos direcionados sobre como agir de acordo com recomendações específicas de Notificações consultivas. Cada seção corresponde a um subtipo de recomendador de Notificações consultivas . A lista a seguir menciona as seções do subtipo de recomendador.
Conceder acesso às Notificações consultivas?
Esta seção ajuda você a agir de acordo com as recomendações do subtipo de recomendador SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS.
Você recebeu essa recomendação porque alguns dos seus Contatos essenciais nas categorias "Segurança" e "Todos" não têm acesso às Notificações consultivas. Isso significa que esses contatos recebem notificações por e-mail, mas não podem conferir a notificação no Google Cloud consol.
Recomendamos que cada Contato essencial receba acesso às Notificações consultivas, em vez de conceder acesso por grupos ou domínios pai. Conceder acesso a cada Contato essencial torna menos provável que o acesso seja revogado acidentalmente no futuro. Além disso, é possível usar o papel de Leitor de Notificações consultivas auto-documentado para esclarecer por que a vinculação existe.
Para aplicar essa recomendação, faça o seguinte:
Encontre todos os Contatos essenciais de segurança no nível da organização na configuração dos Contatos essenciais. Esses são os contatos nas categorias "Segurança" e "Todos".
Conceda a cada contato permissão para conferir as Notificações consultivas na página Administrador do Identity and Access Management atribuindo a eles o papel de Leitor de Notificações consultivas (
roles/advisorynotifications.viewer). Consulte Como conferir as Notificações consultivas se quiser saber as permissões específicas necessárias para conferir as Notificações consultivas.
Configure seus Leitores de Notificações consultivas
Esta seção ajuda você a agir de acordo com as recomendações do subtipo de recomendador NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS.
Você recebeu essa recomendação porque não foi possível identificar nenhum principal na sua organização com acesso às Notificações consultivas.
Recomendamos que você configure os Contatos essenciais e as Notificações consultivas para se preparar para receber notificações críticas de segurança e privacidade.
Para aplicar essa recomendação, faça o seguinte:
Configure os Contatos essenciais de segurança no nível da organização na página Contatos essenciais.
Conceda a cada contato permissão para conferir as Notificações consultivas atribuindo a eles o papel de Leitor de Notificações consultivas (
roles/advisorynotifications.viewer) na página Administrador do Identity and Access Management. Consulte Como conferir as Notificações consultivas se quiser saber as permissões específicas necessárias para conferir as Notificações consultivas.
Se você preferir não usar os Contatos essenciais, ainda recomendamos conceder permissões de visualização para as Notificações consultivas às partes apropriadas da sua organização, como um administrador de segurança. Conceder permissões de visualização para as Notificações consultivas sem configurar os Contatos essenciais não garante que as partes recebam notificações por e-mail das Notificações consultivas.
Preços
Para informações sobre preços, consulte Preços do recomendador.
A seguir
- Saiba mais sobre as Notificações consultivas.
- Saiba mais sobre o Recommender e a respetiva API