停用公開 IP,提升執行個體安全性

本頁面說明如何查看及實作針對違反管理員強制執行的constraints/sql.restrictPublicIp機構政策,為執行個體停用公開 IP 存取權的最佳化建議。這項政策會限制在執行個體上設定公開 IP。在強制執行限制時,如果執行個體已有公開 IP 存取權,就會違反政策。這個推薦工具稱為「停用公開 IP」

這項推薦工具每天都會偵測違反 constraints/sql.restrictPublicIp 機構政策的執行個體,並提供洞察資訊和建議,協助您改善執行個體的安全性。您可以使用 Google Cloud 控制台、gcloud CLIRecommender API,查看這些執行個體的洞察資料和詳細建議。

如要進一步瞭解組織政策,請參閱 Cloud SQL 組織政策

事前準備

請務必啟用 Recommender API

必要角色和權限

如要取得查看洞察資料和最佳化建議的權限,請確認您具備必要的 Identity and Access Management (IAM) 角色

Tasks 角色
查看建議 recommender.cloudsqlViewercloudsql.admin
套用建議 cloudsql.editorcloudsql.admin
如要進一步瞭解 IAM 角色,請參閱「IAM 基本角色和預先定義角色參考資料」和「管理專案、資料夾和機構的存取權」。

列出建議

如要列出推薦內容,請按照下列步驟操作:

主控台

如要列出有關執行個體安全性的最佳化建議,請按照下列步驟操作:

  1. 前往「Cloud SQL 執行個體」頁面。

    前往 Cloud SQL 執行個體

  2. 查看例項表格中的「Issues」欄。

或者,請按照下列步驟操作:

  1. 前往建議中心

    前往「推薦中心」

    詳情請參閱「探索最佳化建議」。

  2. 在「所有最佳化建議」資訊卡中,按一下「安全性」

gcloud

執行 gcloud recommender recommendations list 指令,如下所示:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的地區,例如 us-central1。

API

呼叫 recommendations.list 方法,如下所示:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=DISABLE_PUBLIC_IP_TO_MEET_ORG_POLICY

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

查看洞察資料和詳細最佳化建議

如要查看洞察資料和詳細建議,請按照下列步驟操作:

主控台

列出建議後,請按一下建議。系統會顯示建議面板,其中包含洞察資料和詳細建議。

gcloud

執行 gcloud recommender insights list 指令,如下所示:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

API

呼叫 insights.list 方法,如下所示:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=ORG_POLICY_TO_RESTRICT_PUBLIC_IP_VIOLATED

更改下列內容:

  • PROJECT_ID:您的專案 ID。
  • LOCATION:執行個體所在的區域,例如 us-central1

套用最佳化建議

主控台

如要實作建議,請按照下列步驟操作:

  1. 按一下「管理執行個體 IP 指派作業」

  2. 將用戶端設為使用私人 IP 連線至執行個體。

  3. 在執行個體上停用公開 IP

gcloud

如要實作建議,請按照下列步驟操作:

  1. 將用戶端設為使用私人 IP 連線至執行個體。

  2. 在執行個體上停用公開 IP

API

如要實作建議,請按照下列步驟操作:

  1. 將用戶端設為使用私人 IP 連線至執行個體。

  2. 在執行個體上停用公開 IP

後續步驟