本页面介绍如何查看和实施有关为违反管理员强制执行的 constraints/sql.restrictAuthorizedNetworks
组织政策的实例移除已获授权的网络的建议。如果在强制执行限制条件时实例已存在授权网络,则会发生此政策违规。此 Recommender 称为移除授权网络。
此 Recommender 每天主动检测违反 constraints/sql.restrictAuthorizedNetworks
组织政策的实例,并提供数据分析和建议,以提高实例安全性。您可以使用 Google Cloud 控制台、gcloud CLI 或 Recommender API 查看有关这些实例的数据分析和详细建议。
如需详细了解组织政策,请参阅 Cloud SQL 组织政策。
准备工作
所需的角色和权限
如需获得查看和使用数据分析和建议的权限,请确保您具有所需的 Identity and Access Management (IAM) 角色。
Tasks | 角色 |
---|---|
查看建议 |
recommender.cloudsqlViewer 或
cloudsql.admin 。
|
采纳建议 |
cloudsql.editor
或 cloudsql.admin 。
|
列出建议
如需列出建议,请按以下步骤操作:
控制台
转到 Recommendation Hub。
如需了解详情,请参阅探索建议。
在保护 Cloud SQL 实例卡片中,点击查看全部。此时将显示安全建议页面。它列出了建议以及这些建议适用的实例。
gcloud
运行 gcloud recommender recommendations list
命令,如下所示:
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY
替换以下内容:
- PROJECT_ID:您的项目 ID。
- LOCATION:实例所在的区域,例如 us-central1。
API
调用 recommendations.list
方法,如下所示:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REMOVE_AUTHORIZED_NETWORKS_TO_MEET_ORG_POLICY
替换以下内容:
- PROJECT_ID:您的项目 ID。
- LOCATION:实例所在的区域,例如
us-central1
。
查看数据分析和详细建议
如需查看数据分析和详细建议,请按以下步骤操作:
控制台
在安全建议页面上,点击某个实例的建议。此时会显示“建议”面板,其中包含数据分析和详细建议。
gcloud
运行 gcloud recommender insights list
命令,如下所示:
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED
替换以下内容:
- PROJECT_ID:您的项目 ID。
- LOCATION:实例所在的区域,例如
us-central1
。
API
调用 insights.list
方法,如下所示:
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_AUTHORIZED_NETWORKS_VIOLATED
替换以下内容:
- PROJECT_ID:您的项目 ID。
- LOCATION:实例所在的区域,例如
us-central1
。
应用建议
控制台
如需实施建议,请执行以下操作:
点击管理已获授权的网络。
将客户端配置为使用 Cloud SQL Auth 代理和 Cloud SQL 语言连接器。
移除实例上的已获授权的网络。
gcloud
如需实施建议,请执行以下操作:
将客户端配置为使用 Cloud SQL Auth 代理和 Cloud SQL 语言连接器。
移除实例上的已获授权的网络。
API
如需实施建议,请执行以下操作:
将客户端配置为使用 Cloud SQL Auth 代理和 Cloud SQL 语言连接器。
移除实例上的已获授权的网络。