采纳建议

Advisory Notifications 会提供 IAM 政策建议,以确保贵组织中的相关人员有权在 Google Cloud 控制台中查看重要的安全通知和隐私通知。这些建议是通过分析您的“重要联系人”配置和 IAM 政策自动生成的。请参考以下建议,确保您的安全管理员能够接收并快速处理安全通知。

建议性通知的运作方式

建议性通知会监控您的“重要联系人”和 IAM 政策配置,并根据前一天的数据提供建议。

建议包括:

  • 如果没有用户有权查看通知,Advisory Notifications 建议您向组织中的相关方授予访问权限。

  • 如果某个主账号被列为“安全重要联系人”,但无权在 Google Cloud 控制台中查看 Advisory Notifications,Advisory Notifications 会建议向该主账号授予访问权限。建议不会考虑自定义角色。如果您要通过自定义角色向主账号授予对咨询通知的权限,请忽略或关闭此建议。

查看 Advisory Notifications 建议

借助建议通知,您可以使用 Google Cloud CLI、API 或 BigQuery Export 功能通过 Recommender 获取数据分析和建议。

准备工作

您必须先执行以下操作,然后才能查看数据分析和建议:

  • 您必须启用 Recommender API。 您只需在单个结算项目上启用该 API。然后,您可以使用此结算项目在 gcloud 命令和 API 请求中指定结算项目,以查看其他项目、整个组织或结算账号的建议和数据分析。
  • 确保您拥有所需的权限

查看建议

gcloud

如需查看建议,请使用以下 gcloud recommender recommendations list 命令:

gcloud recommender recommendations list \
    --recommender=google.cloud.security.GeneralRecommender \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

替换以下内容:

  • ORGANIZATION_ID:您的组织的 ID。
  • FORMAT:您的首选输出格式。例如 yamltextjson。如需了解所有可能值,请参阅投影。值 csvdiffgettablevalue 需要非空投影
  • QUOTA_PROJECT:要用于配额和结算的项目的 ID。

gcloud recommender recommendations list 命令的输出包含以下字段:

  • name:建议的名称。
  • description:用户易于阅读的建议说明。
  • associatedInsights:关联的数据分析列表。

您还可以查看与这些建议相关的数据分析。如需查看数据分析,请使用以下 gcloud recommender insights list 命令。

gcloud recommender insights list \
    --insight-type=google.cloud.security.GeneralInsight \
    --organization=ORGANIZATION_ID \
    --location=global \
    --billing-project=QUOTA_PROJECT \
    --filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
    --format=FORMAT

替换以下内容:

  • ORGANIZATION_ID:您的组织的 ID。
  • FORMAT:您的首选输出格式。例如,yamltextjson。如需了解所有可能值,请参阅投影。值 csvdiffgettablevalue 需要非空投影
  • QUOTA_PROJECT:用于配额和结算的项目的 ID。

gcloud recommender insights list 命令的输出包含以下字段:

  • name:建议的名称。
  • description:直观易懂的数据分析说明。
  • associatedRecommendations:关联的建议列表。

如需了解详情,请参阅 Recommender 文档。

API

如需查看建议,请将 Recommender APIgoogle.cloud.security.GeneralRecommender recommender ID 搭配使用。

以下示例 bash 脚本将应用默认凭据返回的访问令牌用于 curl 请求。如需了解如何设置应用默认凭据,请参阅为应用默认凭据提供凭据

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
RECOMMENDER_ID=google.cloud.security.GeneralRecommender
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations

替换以下内容:

  • ORGANIZATION_ID:您的组织的 ID。
  • QUOTA_PROJECT:用于配额和结算的项目的 ID。

响应包括以下字段:

  • name:建议的名称。
  • description:用户易于阅读的建议说明。
  • associatedInsights:关联的数据分析列表。

如需查看数据分析,请将 Recommender APIgoogle.cloud.security.GeneralInsight 数据分析类型搭配使用。

以下示例 bash 脚本将应用默认凭据返回的访问令牌用于 curl 请求。如需了解如何设置应用默认凭据,请参阅为应用默认凭据提供凭据

ORGANIZATION_ID=ORGANIZATION_ID
LOCATION=global
INSIGHT_TYPE=google.cloud.security.GeneralInsight
QUOTA_PROJECT=QUOTA_PROJECT

curl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "x-goog-user-project: $QUOTA_PROJECT" \
https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights

替换以下内容:

  • ORGANIZATION_ID:您的组织的 ID。
  • QUOTA_PROJECT:用于配额和结算的项目的 ID。

响应包括以下字段:

  • name:建议的名称。
  • description:用户易于阅读的建议说明。
  • associatedRecommendations:关联的建议列表。

如需了解详情,请参阅使用 Recommender API

BigQuery Export

建议和数据分析也可以批量导出到 BigQuery 表中。如需了解详情,请参阅 BigQuery Export 文档

采取 Advisory Notifications 建议的措施

以下部分提供了有关如何根据特定建议通知采取行动的具体建议。每个部分都对应于一个建议通知 Recommender 子类型。以下列表列出了您的推荐程序子类型对应的部分。

授予对 Advisory Notifications 的访问权限

本部分可帮助您根据 SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS Recommender 子类型采取建议措施。

您之所以收到此建议,是因为“安全”和“全部”类别中的一些重要联系人无权接收 Advisory Notifications。这意味着,这些联系人会收到电子邮件通知,但无法在 Google Cloud 控制台中查看通知。

我们建议为每个重要联系人授予咨询通知的访问权限,而不是通过父级群组或网域授予访问权限。向每位重要联系人授予访问权限,可以降低日后意外撤消访问权限的可能性。此外,您还可以使用自文档化的 Advisory Notifications Viewer 角色来阐明存在该绑定的理由。

如需应用此建议,请执行以下操作:

  1. 在重要联系人配置中查找所有组织级安全重要联系人。这些是“安全”和“全部”类别中的联系人。

    前往“重要联系人”

  2. 在 Identity and Access Management Admin 页面中,为每位联系人分配 Advisory Notifications Viewer (roles/advisorynotifications.viewer) 角色,以便他们查看 Advisory Notifications。如需了解查看 Advisory Notifications 所需的具体权限,请参阅查看 Advisory Notifications

    转到 IAM

配置 Advisory Notifications Viewer

本部分可帮助您根据 NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS Recommender 子类型采取建议措施。

您之所以会收到此建议,是因为我们无法确定贵组织中是否有任何主账号拥有对 Advisory Notifications 的访问权限。

我们建议您配置重要联系人和 Advisory Notifications,以便及时接收重要的安全和隐私通知。

如需应用此建议,请执行以下操作:

  1. 在“重要联系人”页面中配置组织级安全重要联系人。

    前往“重要联系人”

  2. 在 Identity and Access Management 管理页面中,为每个联系人分配 Advisory Notifications Viewer 角色 (roles/advisorynotifications.viewer),以便他们查看 Advisory Notifications。如需了解查看 Advisory Notifications 所需的具体权限,请参阅查看 Advisory Notifications

    转到 IAM

如果您不想使用重要联系人,我们仍建议您向贵组织中的适当人员(例如安全管理员)授予 Advisory Notifications 的查看权限。授予对 Advisory Notifications 的查看权限,但未配置 Essential Contacts,并不能保证相关方会收到 Advisory Notifications 发送的电子邮件通知。

价格

如需了解价格信息,请参阅 Recommender 价格

后续步骤