Advisory Notifications 提供 IAM 政策建议,以确保组织中的相关 人员有权在 控制台 Google Cloud 中查看重要的安全通知和隐私通知。这些建议是通过分析您的 重要联系人配置和 IAM 政策自动生成的。您可以根据这些建议确保安全管理员能够接收安全通知并快速采取行动。
Advisory Notifications 建议的工作原理
Advisory Notifications 建议会监控您的重要联系人和 IAM 政策配置,并根据前一天的数据提出建议。
这些建议包括:
如果没有用户有权查看通知,Advisory Notifications 会建议向组织中的相关人员授予访问权限。
如果某个主账号被列为安全重要联系人,但无权在 控制台中查看 Advisory Notifications,Advisory Notifications 会建议向该主账号授予访问权限。 Google Cloud Advisory Notifications 建议不会考虑自定义角色。如果您通过自定义角色向主账号授予 Advisory Notifications 的权限,请忽略或关闭该建议。
查看 Advisory Notifications 建议
Advisory Notifications 通过 Recommender 使用 Google Cloud CLI、API 或 BigQuery Export 功能提供数据分析和建议。
准备工作
您必须先执行以下操作,然后才能查看数据分析和建议:
- 您必须启用 Recommender API。您只需在单个结算项目上启用该 API。然后,您可以通过在 gcloud 命令和 API 请求中指定结算项目,使用此结算项目查看其他项目、整个组织或结算账号的建议和数据分析。
- 确保您拥有所需的权限。
查看建议
gcloud
如需查看建议,请使用以下 gcloud recommender recommendations list
命令:
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
替换以下内容:
ORGANIZATION_ID:您的组织的 ID。FORMAT:您的首选输出格式。例如,yaml、text和json。如需查看所有可能的值,请参阅投影。值csv、diff、get、table和value需要非空 投影。QUOTA_PROJECT:用于配额和结算的项目 ID。
gcloud recommender recommendations list 命令的输出包含以下字段:
name:建议的名称。description:用户易于阅读的建议说明。associatedInsights:关联的数据分析列表。
您还可以查看与这些建议关联的数据分析。如需查看数据分析,请使用下面的 gcloud recommender insights list
命令。
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
替换以下内容:
ORGANIZATION_ID:您的组织的 ID。FORMAT:您的首选输出格式。例如,yaml、text和json。如需查看所有可能的值,请参阅投影。值csv、diff、get、table和value需要非空 投影。QUOTA_PROJECT:用于配额和结算的项目 ID。
gcloud recommender insights list 命令的输出包含以下字段:
name:建议的名称。description:用户易于阅读的数据分析说明。associatedRecommendations:关联的建议列表。
如需了解详情,请参阅 Recommender 文档。
API
如需查看建议,请使用
Recommender API 和
google.cloud.security.GeneralRecommender Recommender ID。
以下示例 bash 脚本将应用默认凭据返回的访问令牌用于
请求。curl如需了解如何设置应用默认凭证,请参阅为应用默认凭证提供凭据。
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
替换以下内容:
ORGANIZATION_ID:您的组织的 ID。QUOTA_PROJECT:用于配额和结算的项目 ID。
响应包括以下字段:
name:建议的名称。description:用户易于阅读的建议说明。associatedInsights:关联的数据分析列表。
如需查看数据分析,请使用
Recommender API 和
google.cloud.security.GeneralInsight 数据分析类型。
以下示例 bash 脚本将应用默认凭据返回的访问令牌用于
请求。curl如需了解如何设置应用默认凭证,请参阅为应用默认凭证提供凭据。
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
替换以下内容:
ORGANIZATION_ID:您的组织的 ID。QUOTA_PROJECT:用于配额和结算的项目 ID。
响应包括以下字段:
name:建议的名称。description:用户易于阅读的建议说明。associatedRecommendations:关联的建议列表。
如需了解详情,请参阅 使用 Recommender API。
BigQuery Export
建议和数据分析也可以批量导出到 BigQuery 表中。 如需了解详情,请参阅 BigQuery Export 文档。
根据 Advisory Notifications 建议采取行动
以下部分提供了有关根据特定 Advisory Notifications 建议采取行动的针对性建议。每个部分对应一个 Advisory Notifications Recommender 子类型。以下列表提到了 Recommender 子类型对应的部分。
授予对 Advisory Notifications 的访问权限
本部分可帮助您根据 Recommender 子类型为 SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS 的建议采取行动。
您收到此建议的原因是, “安全性”和“所有”类别中的某些重要联系人无权访问 Advisory Notifications。 这意味着这些联系人会收到电子邮件通知,但无法在 控制台中查看通知。 Google Cloud
我们建议您向每个重要联系人授予对 Advisory Notifications 的访问权限,而不是通过父群组或网域授予访问权限。 向每个重要联系人授予访问权限可以降低将来意外撤消访问权限的可能性。此外,您还可以使用 自记录 Advisory Notifications Viewer 角色 来阐明 绑定存在的原因 。
如需应用此建议,请执行以下操作:
在重要联系人配置中查找所有组织级安全重要联系人。这些联系人位于“安全性”和“所有”类别中。
在 Identity and Access Management 管理页面中,为每个联系人分配 Advisory Notifications Viewer (
roles/advisorynotifications.viewer) 角色,以授予其查看 Advisory Notifications 的权限。如果您想了解查看 Advisory Notifications 所需的具体权限,请参阅查看 Advisory Notifications。
配置 Advisory Notifications Viewer
本部分可帮助您根据 Recommender 子类型为 NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS 的建议采取行动。
您收到此建议的原因是,我们无法在您的组织中找到任何有权访问 Advisory Notifications 的主账号。
我们建议您配置重要联系人和 Advisory Notifications,以便为接收重要的安全通知和隐私通知做好准备。
如需应用此建议,请执行以下操作:
在“重要联系人”页面中配置组织级安全重要联系人。
在 Identity and Access Management 管理页面中,为每个联系人分配 Advisory Notifications Viewer 角色 (
roles/advisorynotifications.viewer),以授予其查看 Advisory Notifications 的权限。如果您想了解查看 Advisory Notifications 所需的具体权限,请参阅查看 Advisory Notifications。
如果您不想使用重要联系人,我们仍建议您向组织中的相关人员(例如安全管理员)授予 Advisory Notifications 的查看权限。在不配置重要联系人的情况下授予 Advisory Notifications 的查看权限并不能保证相关人员会收到 Advisory Notifications 的电子邮件通知。
价格
如需了解价格,请参阅 Recommender 价格。
后续步骤
- 详细了解 Advisory Notifications。
- 详细了解 Recommender 及其 API。