AlloyDB SSL モード適用の Recommender を使用すると、重要なインスタンスでデータ損失のリスクを検出できます。
このページでは、AlloyDB SSL モード適用の Recommender について、その仕組みと使用方法について説明します。
AlloyDB SSL モード適用の Recommender は、インスタンス メタデータを分析します。インスタンスが本番環境インスタンスで、直接接続に暗号化要件を適用していない場合は、SSL モードを有効にすることをおすすめします。
推奨事項は毎日生成されます。
始める前に
推奨事項と分析情報を表示するには、事前に次の手順を行う必要があります。
Recommender API が有効になっていることを確認します。
分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。
タスク ロール 推奨事項を表示する recommender.alloydbViewer推奨事項を適用する recommender.alloydbAdminまたはalloydb.admin詳細については、他のユーザーにアクセス権を付与するをご覧ください。
推奨事項を一覧取得する
SSL モード適用に関する推奨事項を一覧表示するには、 Google Cloud コンソール、gcloud CLI、または Recommender API を使用します。
コンソール
Google Cloud コンソールで、[クラスタ] ページに移動します。
詳細については、おすすめハブで推奨事項を確認するをご覧ください。
[セキュリティ] カードで、[暗号化されていない直接接続を許可] をクリックします。
[暗号化されていない直接接続を許可] の推奨事項が適用されるインスタンスを含むクラスタのリストが表示されます。
gcloud CLI
gcloud CLI を使用して SSL モード適用に関する推奨事項を一覧表示するには、次のように gcloud recommender recommendations list コマンドを実行します。
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.alloydb.instance.SecurityRecommender \ --filter=recommenderSubtype=REQUIRE_SSL
次のように置き換えます。
PROJECT_ID: プロジェクト ID。LOCATION: インスタンスが配置されているリージョン(us-central1など)。
API
Recommendations API を使用して SSL モード適用に関する推奨事項を一覧表示するには、次のように recommendations.list メソッドを呼び出します。
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.alloydb.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REQUIRE_SSL
次のように置き換えます。
PROJECT_ID: プロジェクト ID。LOCATION: インスタンスが配置されているリージョン(us-central1など)。
分析情報と詳細な推奨事項を表示する
SSL モード適用が必要なインスタンスに関する分析情報と詳細な推奨事項を表示するには、 Google Cloud コンソール、gcloud CLI、または Recommender API を使用します。
分析情報と詳細な推奨事項を表示する手順は次のとおりです。
コンソール
[クラスタ] ページで、[問題] 列のインスタンスの [暗号化されていない直接接続を許可] の推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。
gcloud CLI
次のように gcloud recommender insights list コマンドを実行します。
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.alloydb.instance.SecurityInsight \ --filter=insightSubtype=SSL_NOT_REQUIRED
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1など)。
API
次のように insights.list メソッドを呼び出します。
GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.alloydb.instance.SecurityInsight/insights?filter=insightSubtype=SSL_NOT_REQUIRED
次のように置き換えます。
- PROJECT_ID: プロジェクト ID。
- LOCATION: インスタンスが配置されているリージョン(
us-central1など)。
推奨事項を適用する
推奨事項を慎重に評価し、以下のいずれかを行います。
コンソール
推奨事項を実装するには、インスタンスに SSL / TLS モードを適用します。
gcloud CLI
推奨事項を実装するには、インスタンスに SSL / TLS モードを適用します。