Cette page explique comment lister, décrire, ignorer, restaurer et exporter des insights.
Rôles et autorisations requis
Pour obtenir les autorisations nécessaires pour gérer et exporter des insights, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet:
-
Administrateur de l'outil de recommandation de pare-feu (
roles/recommender.firewallAdmin
) -
Lecteur de l'outil de recommandation de pare-feu (
roles/recommender.firewallViewer
)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour gérer et exporter des insights. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Vous devez disposer des autorisations suivantes pour gérer et exporter des insights:
-
recommender.computeFirewallInsights.list
-
recommender.computeFirewallInsights.update
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Répertorier les insights d'un projet
Pour répertorier les insights d'un projet, procédez comme suit:
gcloud
Exécutez la commande gcloud recommender insights list
:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=global \ --insight-type=google.compute.firewall.Insight \ --filter=EXPRESSION \ --limit=LIMIT \ --page-size=PAGE_SIZE \ --sort-by=SORT_BY \ --format=json
Remplacez PROJECT_ID
par l'ID du projet pour lequel vous souhaitez répertorier des insights.
L'option location
utilise toujours l'emplacement nommé global
. L'option insight-type
utilise toujours le type d'insight nommé google.compute.firewall.Insight
. Le résultat de la commande est tabulaire, sauf si vous utilisez le format JSON.
Les champs suivants sont facultatifs :
EXPRESSION
: appliquez ce filtre booléen à chaque ressource que vous souhaitez répertorier.Si l'expression renvoie la valeur
True
, cet élément est répertorié. Pour plus de détails et d'exemples d'expressions de filtre, exécutez$ gcloud topic filters
ou consultez la documentationgcloud topic filters
.LIMIT
: nombre maximal de ressources à répertorier. Le nombre par défaut de ressources répertoriées est illimité.PAGE_SIZE
: nombre maximal de ressources à répertorier par page.La taille de page par défaut est déterminée par le service ; dans le cas contraire, il n'y a pas de pagination. La pagination peut être appliqué avant ou après
FILTER
etLIMIT
.SORT_BY
: liste de noms de clés de champ séparés par une virgule en fonction desquels trier pour une ressource.L'ordre par défaut est croissant. Pour spécifier un ordre décroissant, ajoutez un préfixe
~
(un tilde) à un champ.
API
Envoyez une requête GET
à la méthode projects.locations.insightTypes.insights
:
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
L'exemple suivant illustre un exemple de réponse pour cette commande :
insights { "name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}" "description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}." "content": { "shadowingFirewalls": [ "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}" ] }, "lastRefreshTime": "2020-04-01T19:16:43Z", "observationPeriod": "0s", "stateInfo" { "state": "ACTIVE" } "category": "SECURITY" "targetResources":[ "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}" ], "insightSubtype": "SHADOWED_RULE" }
Décrire les insights
Pour décrire les détails d'une règle de pare-feu spécifique dans un projet, procédez comme suit:
gcloud
Exécutez la commande gcloud recommender insights describe
:
gcloud recommender insights describe INSIGHT_ID \ --project=PROJECT_NAME \ --location=global \ --insight-type=google.compute.firewall.Insight
Remplacez les éléments suivants :
INSIGHT_ID
: ID de l'insight à décrire.PROJECT_NAME
: nom du projet pour lequel vous souhaitez répertorier des insights.
L'option location
utilise toujours l'emplacement nommé global
. L'option insight-type
utilise toujours le type d'insight nommé google.compute.firewall.Insight
.
API
Envoyez une requête GET
à la méthode projects.locations.insightTypes.insights
:
GET https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*} { "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID, }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projetLOCATION
: utilisez toujours l'emplacement nomméglobal
.INSIGHT_TYPE_ID
: utilisez toujours la valeurgoogle.compute.firewall.Insight
.INSIGHT_ID
: ID de l'insight
Marquer un insight comme ignoré
Si un insight n'est pas pertinent ou si vous souhaitez le masquer pour une autre raison, vous pouvez l'ignorer. Une fois un insight ignoré, la console Google Cloud n'affiche plus cet insight, que ce soit pour vous ou pour les autres utilisateurs.
Pour marquer un insight comme ignoré, procédez comme suit:
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Recherchez la fiche appropriée, puis cliquez sur Afficher la liste complète.
Sélectionnez les règles que vous souhaitez ignorer, puis cliquez sur Ignorer.
Restaurer un insight ignoré
Si vous avez ignoré un insight que vous trouvez par la suite pertinent, vous ou un autre utilisateur pouvez le restaurer et le rendre visible dans la console Google Cloud.
Pour restaurer un insight ignoré, procédez comme suit:
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Cliquez sur Ignorer l'historique. En réponse, la console Google Cloud affiche la page Insights ignorés.
Sélectionnez les insights que vous souhaitez restaurer, puis cliquez sur Restaurer.
Exporter les insights
Si nécessaire, vous pouvez exporter les insights sur les règles bloquées et trop permissives au format CSV ou JSON. Les informations Deny rules with hits
ne peuvent pas être exportées, car elles sont basées sur les métriques Stackdriver du pare-feu et non sur des insights.
Vous pouvez exporter les insights pour l'une des raisons suivantes :
- Vous devez importer les données dans un autre système.
- Vous souhaitez accéder aux données lorsque vous êtes hors connexion.
- Vous avez l'intention de désactiver Firewall Insights, mais vous souhaitez conserver l'accès aux insights générés précédemment.
Pour exporter des insights:
Console
Dans Google Cloud Console, accédez à la page Firewall Insights.
Cliquez sur Enregistrer sous.
Suivez les instructions pour choisir le format des insights et téléchargez-les.
Vous pouvez également exporter les insights vers BigQuery. Lorsque vous exportez des insights vers BigQuery, vous pouvez afficher des instantanés quotidiens des insights pour votre organisation. Pour en savoir plus, consultez la page Exporter des recommandations vers BigQuery.