通过设置用户密码政策提高实例安全性

本页面介绍了如何查看和实施有关为未针对任何内置身份验证用户启用用户密码政策的实例设置用户密码政策的建议。用户密码政策(例如密码过期和失败的尝试达到规定次数后锁定用户)有助于避免密码泄露以及实现合规性。此 Recommender 称为启用用户密码政策

此 Recommender 每天主动检测未启用用户密码政策的实例,并提供数据分析和建议,以提高实例安全性。您可以使用 Google Cloud 控制台、gcloud CLIRecommender API 查看有关这些实例的数据分析和详细建议。

准备工作

请确保启用 Recommender API

所需的角色和权限

如需获得查看和使用数据分析和建议的权限,请确保您具有所需的 Identity and Access Management (IAM) 角色

Tasks 角色
查看建议 recommender.cloudsqlViewercloudsql.admin
采纳建议 cloudsql.editorcloudsql.admin
如需详细了解 IAM 角色,请参阅 IAM 基本角色和预定义角色参考文档以及管理对项目、文件夹和组织的访问权限

列出建议

如需列出建议,请按以下步骤操作:

控制台

如需列出有关实例安全的建议,请按照以下步骤操作:

  1. 转到 Cloud SQL 实例页面。

    转到“Cloud SQL 实例”

  2. 查看实例表中的问题列。

或者,请按以下步骤操作:

  1. 转到 Recommendation Hub

    转到 Recommendation Hub

    如需了解详情,请参阅探索建议

  2. 所有建议卡片中,点击安全

gcloud

运行 gcloud recommender recommendations list 命令,如下所示:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=ENABLE_USER_PASSWORD_POLICY

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1。

API

调用 recommendations.list 方法,如下所示:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ENABLE_USER_PASSWORD_POLICY

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1

查看数据分析和详细建议

如需查看数据分析和详细建议,请按以下步骤操作:

控制台

列出建议后,点击其中一条建议。此时会显示“建议”面板,其中包含数据分析和详细建议。

gcloud

运行 gcloud recommender insights list 命令,如下所示:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=USER_PASSWORD_POLICY_NOT_ENABLED

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1

API

调用 insights.list 方法,如下所示:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=USER_PASSWORD_POLICY_NOT_ENABLED

替换以下内容:

  • PROJECT_ID:您的项目 ID。
  • LOCATION:实例所在的区域,例如 us-central1

应用建议

控制台

如需实施建议,请在您的实例上启用用户密码政策

gcloud

如需实施建议,请在您的实例上启用用户密码政策

API

如需实施建议,请在您的实例上启用用户密码政策

后续步骤