Questa pagina descrive come visualizzare e implementare i suggerimenti per la rimozione delle reti autorizzate per le istanze che violano la
constraints/sql.restrictAuthorizedNetworks policy dell'organizzazione applicata dall'
amministratore. Questa violazione della policy si verifica quando esistono già reti autorizzate per un'istanza al momento dell'applicazione del vincolo. Questo motore per suggerimenti si chiama Rimuovi reti autorizzate.
Ogni giorno, questo motore per suggerimenti rileva in modo proattivo le istanze che violano la policy dell'organizzazione constraints/sql.restrictAuthorizedNetworks e fornisce insight e suggerimenti per migliorare la sicurezza dell'istanza. Puoi visualizzare gli insight e i suggerimenti dettagliati su queste istanze utilizzando la Google Cloud console,
gcloud CLI o l'API Recommender.
Per saperne di più sulle policy dell'organizzazione, consulta Policy dell'organizzazione Cloud SQL.
Prima di iniziare
Assicurati di abilitare l'API Recommender.
Ruoli e autorizzazioni richiesti
Per ottenere le autorizzazioni per visualizzare e utilizzare gli insight e i suggerimenti, assicurati di disporre dei ruoli di Identity and Access Management (IAM) richiesti.
| Tasks | Roles |
|---|---|
| Visualizza i suggerimenti |
recommender.cloudsqlViewer o
cloudsql.admin.
|
| Applica suggerimenti |
cloudsql.editor
o cloudsql.admin.
|
Elenca i suggerimenti
Per elencare i suggerimenti:
Console
Per elencare i suggerimenti sulla sicurezza dell'istanza:
Vai alla pagina Istanze Cloud SQL.
Visualizza la colonna Problemi nella tabella delle istanze.
In alternativa:
Vai ad Active Assist.
Per saperne di più, consulta Esplorare i suggerimenti.
Nella scheda Tutti i suggerimenti, fai clic su Sicurezza.
gcloud
Esegui il gcloud recommender recommendations list comando come segue:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.
API
Chiama il recommendations.list metodo come segue:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- LOCATION: una regione in cui si trovano le istanze, ad esempio
us-central1.
Visualizza gli insight e i suggerimenti dettagliati
Per visualizzare gli insight e i suggerimenti dettagliati:
Console
Dopo aver elencato i suggerimenti, fai clic su uno di essi. Viene visualizzato il riquadro dei suggerimenti, che contiene insight e suggerimenti dettagliati.
gcloud
Esegui il gcloud recommender insights list comando come segue:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- LOCATION : una regione in cui si trovano le istanze, ad esempio
us-central1.
API
Chiama il insights.list metodo come segue:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- LOCATION: una regione in cui si trovano le istanze, ad esempio
us-central1.
Applica il suggerimento
Console
Per implementare il suggerimento:
Fai clic su Gestisci reti autorizzate.
Configura i client in modo che utilizzino il proxy di autenticazione Cloud SQL e i connettori dei linguaggi di Cloud SQL.
Rimuovi le reti autorizzate dall'istanza.
gcloud
Per implementare il suggerimento:
Configura i client in modo che utilizzino il proxy di autenticazione Cloud SQL e i connettori dei linguaggi di Cloud SQL.
Rimuovi le reti autorizzate dall'istanza.
API
Per implementare il suggerimento:
Configura i client in modo che utilizzino il proxy di autenticazione Cloud SQL e i connettori dei linguaggi di Cloud SQL.
Rimuovi le reti autorizzate dall'istanza.
Passaggi successivi
- Reti autorizzate
- Proxy di autenticazione Cloud SQL
- Connettori dei linguaggi di Cloud SQL
- Google Cloud Motori per suggerimenti
- Blog: Massimizza il ROI del cloud