Nesta página, descrevemos como visualizar e implementar recomendações sobre
como desativar o acesso ao IP público para instâncias que violam a
política da organização constraints/sql.restrictPublicIp aplicada pelo
administrador. Esta política restringe a configuração do IP público nas suas instâncias. A violação da política ocorre quando já existe um acesso de IP público para uma instância no momento da aplicação da restrição. Esse recomendador é chamado de Desativar IP público.
Todos os dias, esse recomendador detecta as instâncias que violam a
política da organização constraints/sql.restrictPublicIp e fornece insights e recomendações para melhorar
a segurança da instância. Acesse insights e recomendações detalhadas sobre essas instâncias usando o console do Google Cloud,
a gcloud CLI ou a API Recommender.
Para mais informações sobre as políticas da organização, consulte Políticas da organização do Cloud SQL.
Antes de começar
Papéis e permissões necessárias
Para ter as permissões de visualizar e trabalhar com insights e recomendações, verifique se você tem os papéis do Identity and Access Management (IAM) necessários.
| Tarefas | Papéis |
|---|---|
| Ver recomendações |
recommender.cloudsqlViewer ou
cloudsql.admin.
|
| Aplicar recomendações |
cloudsql.editor
ou cloudsql.admin.
|
Listar as recomendações
Para listar as recomendações, siga estas etapas:
Console
Acesse o Hub de recomendações.
Para mais informações, consulte Como explorar as recomendações.
No card Instâncias seguras do Cloud SQL, clique em Ver tudo. A página Recomendações de segurança será exibida. Ela lista as recomendações e as instâncias a que essas recomendações se aplicam.
gcloud
Execute o comando gcloud recommender recommendations list da seguinte maneira:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região onde as instâncias estão localizadas, como us-central1.
API
Chame o método recommendations.list da seguinte maneira:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região em que suas instâncias estão localizadas, como
us-central1.
Ver insights e recomendações detalhadas
Para ver insights e recomendações detalhadas, siga estas etapas:
Console
Na página Recomendações de segurança, clique na recomendação de uma instância. O painel de recomendações é exibido com insights e recomendações detalhadas.
gcloud
Execute o comando gcloud recommender insights list da seguinte maneira:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região em que suas instâncias estão localizadas, como
us-central1.
API
Chame o método insights.list da seguinte maneira:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED
Substitua:
- PROJECT_ID: o ID do projeto.
- LOCATION: uma região em que suas instâncias estão localizadas, como
us-central1.
Aplicar a recomendação
Console
Para implementar a recomendação, faça o seguinte:
Clique em Gerenciar atribuição de IP da instância.
Configure seus clientes para se conectarem à instância usando o IP particular.
Desative o IP público na instância.
gcloud
Para implementar a recomendação, faça o seguinte:
Configure seus clientes para se conectarem à instância usando o IP particular.
Desative o IP público na instância.
API
Para implementar a recomendação, faça o seguinte:
Configure seus clientes para se conectarem à instância usando o IP particular.
Desative o IP público na instância.