Advisory Notifications는 조직 내 적절한 당사자가 Google Cloud 콘솔에서 중요한 보안 및 개인 정보 보호 알림을 볼 수 있는 액세스 권한을 갖도록 하는 IAM 정책 권장사항을 제공합니다. 이러한 추천은 필수 연락처 구성 및 IAM 정책을 분석하여 자동으로 생성됩니다. 이 권장사항을 사용하여 보안 관리자가 보안 알림을 수신하고 신속하게 처리할 수 있도록 하세요.
조언 알림 추천 작동 방식
조언 알림 권장사항은 필수 연락처 및 IAM 정책 구성을 모니터링하고 전날의 데이터를 기반으로 권장사항을 제공합니다.
권장사항에는 다음이 포함됩니다.
알림을 볼 수 있는 권한이 있는 사용자가 없는 경우 Advisory Notifications에서는 조직 내 적절한 당사자에게 액세스 권한을 부여하는 것이 좋습니다.
주 구성원이 보안 필수 연락처로 등록되어 있지만 Google Cloud 콘솔에서 Advisory Notifications를 볼 권한이 없는 경우, Advisory Notifications에서는 주 구성원에게 액세스 권한을 부여하는 것이 좋습니다. Advisory Notifications 추천은 커스텀 역할을 고려하지 않습니다. 커스텀 역할을 통해 주 구성원에게 Advisory Notifications 권한을 부여하는 경우 권장사항을 무시하거나 닫습니다.
Advisory Notifications 추천 보기
알림을 통해 Google Cloud CLI, API 또는 BigQuery 내보내기 기능을 사용하여 추천자를 통해 통계와 추천을 확인할 수 있습니다.
시작하기 전에
통계와 권장사항을 보려면 먼저 다음을 수행해야 합니다.
- 추천자 API를 사용 설정해야 합니다. 단일 결제 프로젝트에서만 API를 사용 설정하면 됩니다. 그런 다음 동일한 결제 프로젝트를 사용하고 gcloud 명령어 및 API 요청에서 결제 프로젝트를 지정하여 다른 프로젝트, 전체 조직 또는 결제 계정에 대한 권장사항 및 통계를 검토할 수 있습니다.
- 필수 권한이 있는지 확인
추천 보기
gcloud
권장사항을 보려면 다음 gcloud recommender recommendations list 명령어를 사용합니다.
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 IDFORMAT: 선호하는 출력 형식입니다. 예를 들면yaml,text,json입니다. 가능한 모든 값은 프로젝션을 참고하세요.csv,diff,get,table,value값에는 비어 있지 않은 프로젝션이 필요합니다.QUOTA_PROJECT: 할당량 및 결제에 사용할 프로젝트의 ID입니다.
gcloud recommender recommendations list 명령어의 출력에는 다음 필드가 포함됩니다.
name: 권장사항 이름description: 사람이 읽을 수 있는 권장사항 설명associatedInsights: 연결된 통계 목록입니다.
이러한 추천과 관련된 통계도 볼 수 있습니다. 통계를 보려면 아래의 gcloud recommender insights list 명령어를 사용하세요.
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 IDFORMAT: 선호하는 출력 형식입니다. 예를 들면yaml,text,json입니다. 가능한 모든 값은 프로젝션을 참고하세요.csv,diff,get,table,value값에는 비어 있지 않은 프로젝션이 필요합니다.QUOTA_PROJECT: 할당량 및 결제에 사용할 프로젝트의 ID입니다.
gcloud recommender insights list 명령어의 출력에는 다음 필드가 포함됩니다.
name: 권장사항 이름description: 사람이 읽을 수 있는 통계 설명입니다.associatedRecommendations: 연결된 맞춤 콘텐츠 목록입니다.
자세한 내용은 Recommender 문서를 참조하세요.
API
추천을 보려면 google.cloud.security.GeneralRecommender 추천자 ID와 함께 Recommender API를 사용하세요.
다음 bash 스크립트 예시에서는 애플리케이션 기본 사용자 인증 정보에서 curl 요청에 반환한 액세스 토큰을 사용합니다. 애플리케이션 기본 사용자 인증 정보 설정에 대한 자세한 내용은 애플리케이션 기본 사용자 인증 정보에 대한 사용자 인증 정보 제공을 참고하세요.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 IDQUOTA_PROJECT: 할당량 및 결제에 사용할 프로젝트의 ID입니다.
응답에는 다음 필드가 포함됩니다.
name: 권장사항 이름description: 사람이 읽을 수 있는 권장사항 설명associatedInsights: 연결된 통계 목록입니다.
통계를 보려면 google.cloud.security.GeneralInsight 통계 유형과 함께 Recommender API를 사용하세요.
다음 bash 스크립트 예시에서는 애플리케이션 기본 사용자 인증 정보에서 curl 요청에 반환한 액세스 토큰을 사용합니다. 애플리케이션 기본 사용자 인증 정보 설정에 대한 자세한 내용은 애플리케이션 기본 사용자 인증 정보에 대한 사용자 인증 정보 제공을 참조하세요.
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
다음을 바꿉니다.
ORGANIZATION_ID: 조직의 IDQUOTA_PROJECT: 할당량 및 결제에 사용할 프로젝트의 ID입니다.
응답에는 다음 필드가 포함됩니다.
name: 권장사항 이름description: 사람이 읽을 수 있는 권장사항 설명associatedRecommendations: 연결된 맞춤 콘텐츠 목록입니다.
자세한 내용은 Recommender API 사용을 참고하세요.
BigQuery 내보내기
권장사항 및 통계를 BigQuery 테이블로 일괄적으로 내보낼 수도 있습니다. 자세한 내용은 BigQuery 내보내기 문서를 참고하세요.
Advisory Notifications 권장사항에 따른 조치
다음 섹션에서는 특정 고지 알림 권장사항에 따라 취해야 할 조치에 관한 구체적인 조언을 제공합니다. 각 섹션은 하나의 고문 알림 추천자 하위유형에 해당합니다. 다음 목록에는 추천자 하위유형의 섹션이 나와 있습니다.
Advisory Notifications 액세스 권한 부여
이 섹션에서는 SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS 추천자 하위유형을 사용하여 추천에 따라 조치를 취하는 방법을 설명합니다.
보안 및 모든 카테고리의 일부 필수 연락처에 Advisory Notifications에 액세스할 수 있는 권한이 없기 때문에 이 추천이 표시되었습니다. 즉, 이러한 연락처는 이메일 알림을 받지만 Google Cloud 콘솔에서 알림을 볼 수 없습니다.
상위 그룹 또는 도메인을 통해 액세스 권한을 부여하는 대신 각 필수 연락처에 조언 알림에 대한 액세스 권한을 부여하는 것이 좋습니다. 각 필수 연락처에 액세스 권한을 부여하면 나중에 액세스 권한이 실수로 취소될 가능성이 줄어듭니다. 또한 자체 문서화 Advisory Notifications 뷰어 역할을 사용하여 결합이 존재하는 이유를 명확히 할 수 있습니다.
이 권장사항을 적용하려면 다음 안내를 따르세요.
필수 연락처 구성에서 조직 수준의 보안 필수 연락처를 모두 찾습니다. 보안 및 전체 카테고리의 연락처입니다.
각 연락처에 Identity and Access Management 관리 페이지에서 Advisory Notifications를 볼 수 있는 권한을 부여하려면 Advisory Notifications 뷰어 (
roles/advisorynotifications.viewer) 역할을 할당합니다. Advisory Notifications를 보려면 필요한 특정 권한을 알아보려면 Advisory Notifications 보기를 참고하세요.
Advisory Notifications 뷰어 구성
이 섹션에서는 NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS 추천자 하위유형을 사용하여 추천에 따라 조치를 취하는 방법을 설명합니다.
귀하의 조직에서 Advisory Notifications에 액세스할 수 있는 사용자를 찾을 수 없어 이 추천이 표시되었습니다.
중요한 보안 및 개인 정보 보호 알림을 받을 준비를 하려면 필수 연락처를 구성하고 Advisory Notifications를 사용하는 것이 좋습니다.
이 권장사항을 적용하려면 다음 안내를 따르세요.
필수 연락처 페이지에서 조직 수준의 보안 필수 연락처를 구성합니다.
Identity and Access Management(IAM) 관리 페이지에서 각 담당자에게 Advisory Notifications 뷰어 역할(
roles/advisorynotifications.viewer)을 할당하여 Advisory Notifications를 볼 수 있는 권한을 부여합니다. Advisory Notifications를 보려면 필요한 특정 권한을 알아보려면 Advisory Notifications 보기를 참고하세요.
필수 연락처를 사용하지 않는 경우에도 보안 관리자와 같이 조직 내 적절한 당사자에게 Advisory Notifications 보기 권한을 부여하는 것이 좋습니다. 필수 연락처를 구성하지 않고도 Advisory Notifications에 대한 보기 권한을 부여해도 당사자가 Advisory Notifications의 이메일 알림을 수신하지 못할 수 있습니다.
가격 책정
가격 책정 정보는 추천자 가격 책정을 참고하세요.
다음 단계
- 조언 알림에 대해 자세히 알아보세요.
- Recommender 및 해당 API에 대해 알아보기