停用公開 IP,提升執行個體安全性

本頁說明如何查看及實作相關建議,針對違反管理員強制執行的constraints/sql.restrictPublicIp機構政策的執行個體停用公開 IP 存取權。這項政策會限制執行個體的公開 IP 設定。如果執行個體在強制執行限制時已有公開 IP 存取權,就會違反政策。這項建議稱為「停用公開 IP」

這項建議工具每天都會偵測違反機構政策的執行個體,並提供洞察資訊和建議,協助您提升執行個體安全性。constraints/sql.restrictPublicIp您可以使用 Google Cloud 控制台、gcloud CLIRecommender API,查看這些執行個體的深入分析結果和詳細建議。

如要進一步瞭解機構政策,請參閱「Cloud SQL 機構政策」。

事前準備

請務必啟用 Recommender API

必要角色和權限

如要取得查看及使用洞察和建議的權限,請確認您具備必要的身分與存取權管理 (IAM) 角色

Tasks 角色
查看建議 recommender.cloudsqlViewercloudsql.admin
套用建議 cloudsql.editorcloudsql.admin
如要進一步瞭解 IAM 角色,請參閱「IAM 基本和預先定義的角色參考資料」和「管理專案、資料夾和機構的存取權」。

列出建議

如要列出建議,請按照下列步驟操作:

主控台

如要列出執行個體安全性的相關建議,請按照下列步驟操作:

  1. 前往「Cloud SQL 執行個體」頁面。

    前往 Cloud SQL 執行個體

  2. 查看例項表格中的「問題」欄。

或者,請按照下列步驟操作:

  1. 前往「Active Assist」

    前往 Active Assist

    詳情請參閱「探索最佳化建議」。

  2. 在「所有建議」資訊卡中,按一下「安全性」

gcloud

執行 gcloud recommender recommendations list 指令,如下所示:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1。

API

呼叫 recommendations.list 方法,如下所示:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

查看洞察資料和詳細建議

如要查看洞察資料和詳細建議,請按照下列步驟操作:

主控台

列出建議後,請點選其中一項。 系統會顯示建議面板,其中包含洞察資料和詳細建議。

gcloud

執行 gcloud recommender insights list 指令,如下所示:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

API

呼叫 insights.list 方法,如下所示:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

套用最佳化建議

主控台

如要實作建議,請按照下列步驟操作:

  1. 按一下「管理執行個體 IP 指派作業」

  2. 將用戶端設為使用私人 IP 連線至執行個體。

  3. 停用執行個體的公開 IP

gcloud

如要實作建議,請按照下列步驟操作:

  1. 將用戶端設為使用私人 IP 連線至執行個體。

  2. 停用執行個體的公開 IP

API

如要實作建議,請按照下列步驟操作:

  1. 將用戶端設為使用私人 IP 連線至執行個體。

  2. 停用執行個體的公開 IP

後續步驟