このページでは、AlloyDB でデータベース監査を有効にする方法、データベース監査 Recommender の仕組みと使用方法について説明します。
AlloyDB データベース監査 Recommender を使用すると、監査が有効になっていない本番環境インスタンスを検出できます。データベース監査を有効にするための推奨事項が提示されます。
始める前に
推奨事項と分析情報を表示するには、事前に次の手順を行う必要があります。
Recommender API が有効になっていることを確認します。
分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。
タスク ロール 推奨事項を表示する recommender.alloydbViewer推奨事項を適用する recommender.alloydbAdminまたはalloydb.admin詳細については、他のユーザーにアクセス権を付与するをご覧ください。
推奨事項を一覧取得する
データベース監査の有効化に関する推奨事項を一覧表示するには、 Google Cloud コンソール、gcloud CLI、または Recommender API を使用します。
コンソール
Google Cloud コンソールで、[クラスタ] ページに移動します。
詳細については、おすすめハブで推奨事項を確認するをご覧ください。
[セキュリティ] カードで、[監査が無効] をクリックします。
[監査が無効] の推奨事項が適用されるインスタンスを含むクラスタのリストが表示されます。
gcloud CLI
gcloud CLI を使用してデータベース監査の有効化に関する推奨事項を一覧表示するには、次のように gcloud recommender recommendations list コマンドを実行します。
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.alloydb.instance.SecurityRecommender \ --filter=recommenderSubtype=ENABLE_DATABASE_AUDITING
次のように置き換えます。
PROJECT_ID: プロジェクト ID。LOCATION: インスタンスが配置されているリージョン(us-central1など)。
API
Recommendations API を使用してデータベース監査の有効化に関する推奨事項を一覧表示するには、次のように recommendations.list メソッドを呼び出します。
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.alloydb.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ENABLE_DATABASE_AUDITING
次のように置き換えます。
PROJECT_ID: プロジェクト ID。LOCATION: インスタンスが配置されているリージョン(us-central1など)。
分析情報と詳細な推奨事項を表示する
データベース監査の有効化が必要なインスタンスに関する分析情報と詳細な推奨事項を表示するには、 Google Cloud コンソール、gcloud CLI、または Recommender API を使用します。
コンソール
[クラスタ] ページで、[問題] 列のインスタンスの推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。
gcloud CLI
次のように gcloud recommender insights list コマンドを実行します。
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.alloydb.instance.SecurityInsight \ --filter=insightSubtype=DATABASE_AUDITING_NOT_ENABLED
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1など)。
API
次のように insights.list メソッドを呼び出します。
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.alloydb.instance.SecurityInsight/insights?filter=insightSubtype=DATABASE_AUDITING_NOT_ENABLED
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1など)。
推奨事項を適用する
推奨事項を慎重に評価し、以下のいずれかを行います。
コンソール
この推奨事項を実装するには、pgAudit を有効にするの手順に沿って操作します。
gcloud CLI
この推奨事項を実装するには、pgAudit を有効にするの手順に沿って操作します。