Advisory Notifications는 조직 내 적절한 당사자가 Google Cloud 콘솔에서 중요한 보안 및 개인 정보 보호 알림을 볼 수 있도록 IAM 정책 권장사항을 제공합니다. 이러한 추천은 필수 연락처 구성과 IAM 정책을 분석하여 자동으로 생성됩니다. 이 권장사항을 사용하여 보안 관리자가 보안 알림을 수신하고 신속하게 처리할 수 있도록 하세요.
자문 알림 추천 작동 방식
Advisory Notifications 권장사항은 필수 연락처 및 IAM 정책 구성을 모니터링하고 전날 데이터를 기반으로 권장사항을 제시합니다.
권장사항에는 다음이 포함됩니다.
알림을 볼 수 있는 권한이 있는 사용자가 없는 경우 Advisory Notifications에서는 조직 내 적절한 당사자에게 액세스 권한을 부여할 것을 권장합니다.
주 구성원이 보안 필수 연락처로 등록되어 있지만Google Cloud 콘솔에서 Advisory Notifications를 볼 수 있는 권한이 없는 경우 Advisory Notifications에서 주 구성원에게 액세스 권한을 부여하도록 추천합니다. Advisory Notifications 추천은 커스텀 역할을 고려하지 않습니다. 커스텀 역할을 통해 주 구성원에게 Advisory Notifications에 대한 권한을 부여하는 경우 권장사항을 무시하거나 닫으세요.
Advisory Notifications 추천 보기
자문 알림은 Google Cloud CLI, API 또는 BigQuery 내보내기 기능을 사용하여 추천자를 통해 통계와 추천을 제공합니다.
시작하기 전에
통계와 권장사항을 보려면 먼저 다음을 수행해야 합니다.
- 추천자 API를 사용 설정해야 합니다. 단일 결제 프로젝트에서만 API를 사용 설정하면 됩니다. 그런 다음 gcloud 명령어 및 API 요청에서 결제 프로젝트를 지정하여 동일한 결제 프로젝트를 사용하여 다른 프로젝트, 전체 조직 또는 결제 계정에 대한 권장사항 및 통계를 검토할 수 있습니다.
- 필수 권한이 있는지 확인
추천 보기
gcloud
권장사항을 보려면 다음 gcloud recommender recommendations list 명령어를 사용하세요.
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 ID입니다.FORMAT: 선호하는 출력 형식입니다. 예를 들면yaml,text,json입니다. 가능한 모든 값은 예측을 참고하세요.csv,diff,get,table,value값에는 비어 있지 않은 프로젝션이 필요합니다.QUOTA_PROJECT: 할당량 및 결제에 사용할 프로젝트의 ID입니다.
gcloud recommender recommendations list 명령어의 출력에는 다음 필드가 포함됩니다.
name: 권장사항 이름description: 인간이 읽을 수 있는 권장사항 설명associatedInsights: 연결된 통계 목록입니다.
이러한 추천과 관련된 통계를 볼 수도 있습니다. 통계를 보려면 아래의 gcloud recommender insights list 명령어를 사용하세요.
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 ID입니다.FORMAT: 선호하는 출력 형식입니다. 예를 들면yaml,text,json입니다. 가능한 모든 값은 예측을 참고하세요.csv,diff,get,table,value값에는 비어 있지 않은 프로젝션이 필요합니다.QUOTA_PROJECT: 할당량 및 결제에 사용할 프로젝트의 ID입니다.
gcloud recommender insights list 명령어의 출력에는 다음 필드가 포함됩니다.
name: 권장사항 이름description: 사람이 읽을 수 있는 통계 설명입니다.associatedRecommendations: 연결된 추천 목록입니다.
자세한 내용은 Recommender 문서를 참조하세요.
API
권장사항을 보려면 google.cloud.security.GeneralRecommender 추천자 ID와 함께 Recommender API를 사용하세요.
다음 bash 스크립트 예시에서는 애플리케이션 기본 사용자 인증 정보에서 curl 요청에 반환한 액세스 토큰을 사용합니다. 애플리케이션 기본 사용자 인증 정보 설정에 대한 자세한 내용은 애플리케이션 기본 사용자 인증 정보에 대한 사용자 인증 정보 제공을 참고하세요.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 ID입니다.QUOTA_PROJECT: 할당량 및 결제에 사용할 프로젝트의 ID입니다.
응답에는 다음 필드가 포함됩니다.
name: 권장사항 이름description: 인간이 읽을 수 있는 권장사항 설명associatedInsights: 연결된 통계 목록입니다.
통계를 보려면 google.cloud.security.GeneralInsight 통계 유형과 함께 Recommender API를 사용하세요.
다음 bash 스크립트 예시에서는 애플리케이션 기본 사용자 인증 정보에서 curl 요청에 반환한 액세스 토큰을 사용합니다. 애플리케이션 기본 사용자 인증 정보 설정에 대한 자세한 내용은 애플리케이션 기본 사용자 인증 정보에 대한 사용자 인증 정보 제공을 참조하세요.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 ID입니다.QUOTA_PROJECT: 할당량 및 결제에 사용할 프로젝트의 ID입니다.
응답에는 다음 필드가 포함됩니다.
name: 권장사항 이름description: 인간이 읽을 수 있는 권장사항 설명associatedRecommendations: 연결된 추천 목록입니다.
자세한 내용은 Recommender API 사용을 참고하세요.
BigQuery 내보내기
권장사항 및 통계를 BigQuery 테이블로 일괄적으로 내보낼 수도 있습니다. 자세한 내용은 BigQuery 내보내기 문서를 참고하세요.
Advisory Notifications 추천에 따른 조치
다음 섹션에서는 특정 권고 알림 권장사항에 따라 조치를 취하는 방법에 관한 맞춤 조언을 제공합니다. 각 섹션은 하나의 자문 알림 추천자 하위 유형에 해당합니다. 다음 목록에는 추천자 하위 유형의 섹션이 언급되어 있습니다.
Advisory Notifications 액세스 권한 부여
이 섹션에서는 SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS 추천자 하위 유형을 사용하여 권장사항에 따라 조치를 취하는 방법을 설명합니다.
보안 및 모든 카테고리의 일부 필수 연락처가 Advisory Notifications에 액세스할 수 없기 때문에 이 추천이 표시되었습니다. 즉, 이러한 연락처는 이메일 알림을 받지만 Google Cloud 콘솔에서 알림을 볼 수는 없습니다.
상위 그룹 또는 도메인을 통해 액세스 권한을 부여하는 대신 각 필수 연락처에 권고 알림에 대한 액세스 권한을 부여하는 것이 좋습니다. 각 필수 연락처에 액세스 권한을 부여하면 나중에 액세스 권한이 실수로 취소될 가능성이 줄어듭니다. 또한 자체 문서화 Advisory Notifications 뷰어 역할을 사용하여 바인딩이 존재하는 이유를 명확히 할 수 있습니다.
이 권장사항을 적용하려면 다음 안내를 따르세요.
필수 연락처 구성에서 모든 조직 수준 보안 필수 연락처를 찾습니다. 보안 및 전체 카테고리의 연락처입니다.
각 연락처에 Advisory Notifications 뷰어 (
roles/advisorynotifications.viewer) 역할을 할당하여 Identity and Access Management 관리 페이지에서 Advisory Notifications를 볼 수 있는 권한을 부여합니다. Advisory Notifications를 보는 데 필요한 특정 권한을 알아보려면 Advisory Notifications 보기를 참고하세요.
Advisory Notifications 뷰어 구성
이 섹션에서는 NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS 추천자 하위 유형을 사용하여 권장사항에 따라 조치를 취하는 방법을 설명합니다.
조직에서 Advisory Notifications에 액세스할 수 있는 주 구성원을 확인할 수 없어 이 추천이 제공되었습니다.
중요한 보안 및 개인 정보 보호 알림을 수신할 수 있도록 필수 연락처와 Advisory Notifications를 구성하는 것이 좋습니다.
이 권장사항을 적용하려면 다음 안내를 따르세요.
필수 연락처 페이지에서 조직 수준의 보안 필수 연락처를 구성합니다.
Identity and Access Management 관리 페이지에서 각 연락처에 Advisory Notifications 뷰어 역할 (
roles/advisorynotifications.viewer)을 할당하여 Advisory Notifications를 볼 수 있는 권한을 부여합니다. Advisory Notifications를 보는 데 필요한 특정 권한을 알아보려면 Advisory Notifications 보기를 참고하세요.
필수 연락처를 사용하지 않으려는 경우에도 보안 관리자와 같은 조직 내 적절한 당사자에게 Advisory Notifications 보기 권한을 부여하는 것이 좋습니다. 필수 연락처를 구성하지 않고 Advisory Notifications 보기 권한을 부여해도 당사자가 Advisory Notifications에서 이메일 알림을 수신한다는 보장은 없습니다.
가격 책정
가격 정보는 추천자 가격 책정을 참고하세요.
다음 단계
- 권고 알림에 대해 자세히 알아보세요.
- Recommender 및 해당 API에 대해 알아보기