Cette page explique comment afficher et mettre en œuvre des recommandations concernant la rotation des certificats de serveur pour les instances dont les certificats de serveur sont sur le point d'expirer dans les 30 jours. Si le certificat d'une instance est sur le point d'expirer dans les 30 jours, les clients qui l'utilisent ne pourront pas se connecter en toute sécurité à l'instance, ce qui les rend vulnérables aux failles de sécurité. Cet outil de recommandation est appelé Effectuer une rotation du certificat de serveur.
Chaque jour, cet outil de recommandation vérifie l'expiration des certificats et fournit des insights et des recommandations pour améliorer la sécurité de votre instance. Vous pouvez afficher les insights et les recommandations détaillées concernant ces instances à l'aide de la console Google Cloud, de gcloud CLI ou de l'API Recommender.
Avant de commencer
Assurez-vous d'activer l'API Recommender.
Rôles et autorisations requis
Pour obtenir les autorisations permettant d'afficher et d'utiliser les insights et les recommandations, assurez-vous de disposer des rôles IAM (Identity and Access Management) requis.
| Tâches | Rôles |
|---|---|
| Afficher les recommandations | recommender.cloudsqlViewer ou cloudsql.admin. |
| Appliquer les recommandations | cloudsql.editor ou cloudsql.admin. |
Répertorier les recommandations
Pour répertorier les recommandations, procédez comme suit :
Console
Pour lister les recommandations concernant la sécurité des instances, procédez comme suit:
Accédez à la page Instances Cloud SQL.
Consultez la colonne Problèmes dans le tableau des instances.
Vous pouvez également procéder comme suit :
Accédez au centre de recommandations.
Accéder au hub de recommandations
Pour en savoir plus, consultez Explorer les recommandations.
Dans la fiche Toutes les recommandations, cliquez sur Sécurité.
gcloud
Exécutez la commande gcloud recommender recommendations list comme suit :
gcloud recommender recommendations list \ --project=PROJECT_ID \ --location=LOCATION \ --recommender=google.cloudsql.instance.SecurityRecommender \ --filter=recommenderSubtype=ROTATE_SERVER_CERT
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, telle que us-central1.
API
Appelez la méthode recommendations.list comme suit :
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ROTATE_SERVER_CERT
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, par exemple
us-central1.
Afficher les insights et les recommandations détaillées
Pour afficher les insights et les recommandations détaillées, procédez comme suit :
Console
Après avoir listé les recommandations, cliquez sur l'une d'elles. Le panneau de recommandations s'affiche. Il contient des insights et des recommandations détaillées.
gcloud
Exécutez la commande gcloud recommender insights list comme suit :
gcloud recommender insights list \ --project=PROJECT_ID \ --location=LOCATION \ --insight-type=google.cloudsql.instance.SecurityInsight \ --filter=insightSubtype=SERVER_CERT_EXPIRING
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, par exemple
us-central1.
API
Appelez la méthode insights.list comme suit :
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=SERVER_CERT_EXPIRING
Remplacez les éléments suivants :
- PROJECT_ID : ID de votre projet
- LOCATION : région où se trouvent vos instances, par exemple
us-central1.
Appliquer la recommandation
Console
Pour mettre en œuvre la recommandation, cliquez sur Gérer les certificats de serveur et effectuez une rotation des certificats de serveur sur votre instance.
gcloud
Pour mettre en œuvre la recommandation, effectuez une rotation des certificats de serveur sur votre instance.
API
Pour mettre en œuvre la recommandation, effectuez une rotation des certificats de serveur sur votre instance.
Étape suivante
- Effectuer une rotation des certificats de serveur
- Google Cloud recommenders
- Blog : Optimisez votre ROI Cloud.