Advisory Notifications 會提供 IAM 政策建議,確保貴機構中適當的對象有權在 Google Cloud 控制台中查看重大安全性與隱私權通知。系統會分析您的重要聯絡人設定和 IAM 政策,自動產生這些建議。請按照這些建議操作,確保安全管理員可以收到並快速處理安全性通知。
如何使用「諮詢通知」建議
建議事項通知會監控重要聯絡人和 IAM 政策設定,並根據前一天的資料提供建議。
建議包括:
如果沒有任何使用者有權查看通知,Advisory Notifications 會建議授予機構內適當人員存取權。
如果主體列為「安全性」類別的重要聯絡人,但沒有權限在Google Cloud 控制台中查看 Advisory Notifications,Advisory Notifications 會建議授予主體存取權。最佳化建議不會將自訂角色納入考量。如果您是透過自訂角色授予主體「Advisory Notifications」權限,請忽略或關閉這項建議。
查看 Advisory Notifications 建議
透過諮詢通知,您可以使用 Google Cloud CLI、API 或 BigQuery 匯出功能,透過建議工具取得深入分析和建議。
事前準備
如要查看洞察資料和最佳化建議,請先完成下列事項:
- 您必須啟用 Recommender API。您只需要在單一帳單專案中啟用 API,然後,您可以在 gcloud 指令和 API 要求中指定帳單專案,使用這個帳單專案檢查其他專案、整個機構或帳單帳戶的建議和洞察資料。
- 確認您具備必要權限
查看建議
gcloud
如要查看建議,請使用下列 gcloud recommender recommendations list 指令:
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
更改下列內容:
ORGANIZATION_ID:貴機構的 ID。FORMAT:偏好的輸出格式。例如yaml、text和json。如要查看所有可能的值,請參閱「預測」。值為csv、diff、get、table和value時,projections 不得為空。QUOTA_PROJECT:用於配額和帳單的專案 ID。
gcloud recommender recommendations list 指令的輸出內容包含下列欄位:
name:建議名稱。description:使用者可自然閱讀的建議說明。associatedInsights:相關聯的洞察資料清單。
您也可以查看與這些建議相關的洞察資料。如要查看洞察資料,請使用下列 gcloud recommender insights list 指令。
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
更改下列內容:
ORGANIZATION_ID:貴機構的 ID。FORMAT:偏好的輸出格式。例如yaml、text和json。如要查看所有可能的值,請參閱「預測」。值為csv、diff、get、table和value時,projections 不得為空。QUOTA_PROJECT:用於配額和帳單的專案 ID。
gcloud recommender insights list 指令的輸出內容包含下列欄位:
name:建議名稱。description:使用者可自然閱讀的深入分析說明。associatedRecommendations:相關建議清單。
詳情請參閱建議工具說明文件。
API
如要查看建議,請使用 google.cloud.security.GeneralRecommender 建議工具 ID 搭配 Recommender API。
以下範例 bash 指令碼會使用應用程式預設憑證傳回的存取權杖,發出 curl 要求。如要瞭解如何設定應用程式預設憑證,請參閱「提供應用程式預設憑證的憑證」。
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
更改下列內容:
ORGANIZATION_ID:貴機構的 ID。QUOTA_PROJECT:用於配額和帳單的專案 ID。
回應會包括以下欄位:
name:建議名稱。description:使用者可自然閱讀的建議說明。associatedInsights:相關聯的洞察資料清單。
如要查看洞察資料,請使用 google.cloud.security.GeneralInsight 洞察類型搭配 Recommender API。
以下範例 bash 指令碼會使用應用程式預設憑證傳回的存取權杖,發出 curl 要求。如要瞭解如何設定應用程式預設憑證,請參閱「提供應用程式預設憑證的憑證」。
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
更改下列內容:
ORGANIZATION_ID:貴機構的 ID。QUOTA_PROJECT:用於配額和帳單的專案 ID。
回應會包括以下欄位:
name:建議名稱。description:使用者可自然閱讀的建議說明。associatedRecommendations:相關建議清單。
詳情請參閱「使用 Recommender API」。
BigQuery 匯出
您也可以將建議和洞察資料大量匯出至 BigQuery 資料表。 詳情請參閱 BigQuery 匯出說明文件。
根據 Advisory Notifications 建議採取行動
下列各節提供具體建議,說明如何根據特定諮詢通知建議採取行動。每個部分都對應到一個諮詢通知 Recommender 子類型。以下列出建議子類型的各個部分。
授予 Advisory Notifications 的存取權
本節將說明如何根據 SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS Recommender Subtype 採取行動。
您收到這項建議,是因為「安全性」和「全部」類別中的部分重要聯絡人沒有 Advisory Notifications 的存取權。也就是說,這些聯絡人會收到電子郵件通知,但無法在 Google Cloud 控制台中查看通知。
建議您為每個重要聯絡人授予「建議通知」存取權,而非透過父項群組或網域授予存取權。授予每個重要聯絡人存取權,可降低日後意外撤銷存取權的機率。此外,您可以使用自我記錄的 Advisory Notifications 檢視者角色,說明繫結存在的原因。
如要套用這項最佳化建議,請按照下列步驟操作:
在重要聯絡人設定中,找出所有機構層級的安全性重要聯絡人。這些是「安全性」和「所有」類別中的聯絡人。
在「身分與存取權管理」管理頁面中,為每個聯絡人指派「Advisory Notifications 檢視者」角色 (
roles/advisorynotifications.viewer),授予他們查看 Advisory Notifications 的權限。如要瞭解查看 Advisory Notifications 的必要權限,請參閱查看 Advisory Notifications。
設定 Advisory Notifications 檢視者
本節將說明如何根據 NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS Recommender Subtype 採取行動。
您收到這項最佳化建議,是因為我們無法在貴機構中找出任何有權存取 Advisory Notifications 的主體。
建議您設定重要聯絡人和 Advisory Notifications,以便接收重大安全性與隱私權通知。
如要套用這項最佳化建議,請按照下列步驟操作:
在「重要聯絡人」頁面中,設定機構層級的安全性重要聯絡人。
在「身分與存取權管理」管理頁面中,為每個聯絡人指派 Advisory Notifications 檢視者角色 (
roles/advisorynotifications.viewer),授予他們查看 Advisory Notifications 的權限。如要瞭解查看 Advisory Notifications 的必要權限,請參閱查看 Advisory Notifications。
如果不想使用重要聯絡人,我們仍建議您將 Advisory Notifications 的檢視權限授予貴機構的適當對象,例如安全管理員。如果未設定重要聯絡人,即使授予 Advisory Notifications 的查看權限,相關人員也不一定會收到 Advisory Notifications 的電子郵件通知。
定價
如要查看定價資訊,請參閱「Recommender 定價」。