Questa pagina descrive come elencare, descrivere, ignorare, ripristinare ed esportare gli approfondimenti.
Ruoli e autorizzazioni richiesti
Per ottenere le autorizzazioni necessarie per gestire ed esportare gli approfondimenti, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Visualizzatore motore per suggerimenti firewall (
roles/recommender.firewallViewer)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire ed esportare gli approfondimenti. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire ed esportare gli approfondimenti sono necessarie le seguenti autorizzazioni:
-
recommender.computeFirewallInsights.list -
recommender.computeFirewallInsights.update
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Elencare gli approfondimenti per un progetto
Per elencare gli approfondimenti per un progetto:
gcloud
Utilizza il comando gcloud recommender insights list:
gcloud recommender insights list \
--project=PROJECT_ID \
--location=global \
--insight-type=google.compute.firewall.Insight \
--filter=EXPRESSION \
--limit=LIMIT \
--page-size=PAGE_SIZE \
--sort-by=SORT_BY \
--format=json
Sostituisci PROJECT_ID con l'ID progetto per il quale vuoi elencare gli approfondimenti.
Il flag location utilizza sempre la località denominata global. Il flag
insight-type utilizza sempre il tipo di insight denominato
google.compute.firewall.Insight. A meno che tu non formatti l'output in JSON, l'output del comando è tabellare.
I seguenti campi sono facoltativi:
EXPRESSION: applica questo filtro booleano a ogni risorsa che vuoi elencareSe l'espressione restituisce
True, l'elemento viene elencato. Per maggiori dettagli ed esempi di espressioni di filtro, esegui$ gcloud topic filterso consulta la documentazione digcloud topic filters.LIMIT: il numero massimo di risorse da elencare; il numero predefinito di risorse elencate è illimitatoPAGE_SIZE: il numero massimo di risorse da elencare per paginaLe dimensioni della pagina predefinite sono determinate dal servizio; in caso contrario, non è presente alcuna paginazione. La paginazione potrebbe essere applicata prima o dopo
FILTEReLIMIT.SORT_BY: un elenco separato da virgole di nomi di chiavi di campi in base ai quali ordinare una risorsaL'ordine predefinito è crescente. Per specificare un ordine decrescente, fai precedere un campo da
~(una tilde).
API
Effettua una richiesta GET al
metodo projects.locations.insightTypes.insights:
GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights
Il seguente esempio mostra una risposta di esempio per questo comando:
insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
"shadowingFirewalls": [
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowing_firewall_name1}"
]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
"state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
"//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
],
"insightSubtype": "SHADOWED_RULE"
}
Descrivere gli approfondimenti
Per descrivere i dettagli di una particolare regola firewall in un progetto:
gcloud
Utilizza il comando gcloud recommender insights describe:
gcloud recommender insights describe INSIGHT_ID \
--project=PROJECT_NAME \
--location=global \
--insight-type=google.compute.firewall.Insight
Sostituisci quanto segue:
INSIGHT_ID: l'ID dell'insight da descriverePROJECT_NAME: il nome del progetto per cui vuoi elencare gli approfondimenti
Il flag location utilizza sempre la località denominata global. Il flag
insight-type utilizza sempre il tipo di insight denominato
google.compute.firewall.Insight.
API
Effettua una richiesta GET al
metodo projects.locations.insightTypes.insights:
GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
"name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
}
Sostituisci quanto segue:
PROJECT_ID: l'ID progettoLOCATION: utilizza sempre la posizione denominataglobalINSIGHT_TYPE_ID: utilizza sempre il valoregoogle.compute.firewall.InsightINSIGHT_ID: l'ID dell'insight
Contrassegnare un insight come ignorato
Se un approfondimento non è significativo o se vuoi nasconderlo per qualsiasi altro motivo, puoi ignorarlo. Dopo aver ignorato un insight, la console non lo mostrerà più a te o ad altri utenti, a meno che tu non lo ripristini. Google Cloud
Per contrassegnare un insight come ignorato:
Console
Nella console Google Cloud , vai alla pagina Firewall Insights.
Trova la scheda appropriata e fai clic su Visualizza elenco completo.
Seleziona le regole che vuoi ignorare e poi fai clic su Ignora.
Ripristinare un insight ignorato
Se hai chiuso un approfondimento che in seguito ritieni pertinente, tu o un altro utente potete ripristinarlo e renderlo visibile nella console Google Cloud .
Per ripristinare un approfondimento ignorato:
Console
Nella console Google Cloud , vai alla pagina Firewall Insights.
Fai clic su Ignora cronologia. In risposta, la console Google Cloud mostra la pagina Approfondimenti ignorati.
Seleziona gli approfondimenti che vuoi ripristinare e poi fai clic su Ripristina.
Esportare gli approfondimenti
Se necessario, puoi esportare gli insight sulle regole eccessivamente permissive e ombrate in formato CSV o JSON. Le informazioni Deny rules with hits non possono essere esportate perché
si basano sulle metriche di Stackdriver Monitoring del firewall e non sugli approfondimenti.
Potresti voler esportare gli approfondimenti per uno dei seguenti motivi:
- Devi importare i dati in un altro sistema.
- Vuoi accedere ai dati quando sei offline.
- Intendi disattivare Firewall Insights, ma vuoi mantenere l'accesso agli insight generati in precedenza.
Per esportare gli approfondimenti:
Console
Nella console Google Cloud , vai alla pagina Firewall Insights.
Fai clic su Salva con nome.
Segui le istruzioni per scegliere un formato per gli approfondimenti e scaricarli.
Puoi anche esportare gli approfondimenti in BigQuery. Quando esporti gli approfondimenti in BigQuery, puoi visualizzare snapshot giornalieri degli approfondimenti per la tua organizzazione. Per ulteriori informazioni, vedi Esportare i suggerimenti in BigQuery.