Advisory Notifications は、IAM ポリシーに関する推奨事項を提供して、組織内の適切な 関係者が、セキュリティおよび プライバシーに関する重要な通知を Google Cloud コンソールで表示するアクセス権を確実に持つようにします。これらの推奨事項は、重要な連絡先の構成と IAM ポリシーを分析して自動的に生成されます。これらの推奨事項を使用して、セキュリティ管理者がセキュリティ通知を受信してすばやく対処できるようにします。
Advisory Notifications の推奨事項の仕組み
Advisory Notifications の推奨事項は、重要な連絡先と IAM ポリシーの構成をモニタリングし、前日のデータに基づいて推奨事項を作成します。
推奨事項には次のものが含まれます。
通知を表示する権限を持つユーザーがいない場合、Advisory Notifications は、組織内の適切な関係者にアクセス権を付与することを推奨します。
プリンシパルがセキュリティの重要な連絡先としてリストされているが、コンソールで Advisory Notifications を表示する権限がない場合、Advisory Notifications はプリンシパルにアクセス権を付与することを推奨します。Google Cloud Advisory Notifications の推奨事項では、カスタムロールは考慮されません。カスタムロールを使用してプリンシパルに Advisory Notifications の権限を付与する場合は、推奨事項を無視または非表示にします。
Advisory Notifications の推奨事項を表示する
Advisory Notifications は、 Recommender を介して分析情報と推奨事項を提供します。Google Cloud CLI、API、または BigQuery エクスポート機能を使用します。
始める前に
分析情報と推奨事項を表示する前に、次のことを行う必要があります。
- Recommender API を有効にする必要があります。1 つの課金プロジェクトで API を有効にします。gcloud コマンドと API リクエストで課金プロジェクトを指定することで、この課金プロジェクトを使用して、他のプロジェクト、組織全体、または請求先アカウントの推奨事項と分析情報を調べることができます。
- 必要な権限があることを確認してください
推奨事項を表示する
gcloud
推奨事項を表示するには、次の gcloud recommender recommendations list
コマンドを使用します。
gcloud recommender recommendations list \
--recommender=google.cloud.security.GeneralRecommender \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=recommenderSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
次のように置き換えます。
ORGANIZATION_ID: 組織の ID。FORMAT: 目的の出力形式。例:yaml、text、json。使用可能な値については、射影をご覧ください。csv、diff、get、table、valueの値は、空でない 射影を必要とします。QUOTA_PROJECT: 割り当てと課金に使用するプロジェクトの ID。
gcloud recommender recommendations list コマンドの出力には次のフィールドが含まれます。
name推奨の名前。description: 対人可読な推奨事項の説明associatedInsights: 関連する分析情報のリスト。
これらの推奨事項に関連付けられた分析情報を表示することもできます。分析情報を表示するには、次の gcloud recommender insights list
コマンドを使用します。
gcloud recommender insights list \
--insight-type=google.cloud.security.GeneralInsight \
--organization=ORGANIZATION_ID \
--location=global \
--billing-project=QUOTA_PROJECT \
--filter=insightSubtype=[ SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS | NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS] \
--format=FORMAT
次のように置き換えます。
ORGANIZATION_ID: 組織の ID。FORMAT: 目的の出力形式。例:yaml、text、json。使用可能な値については、射影をご覧ください。csv、diff、get、table、valueの値は、空でない 射影を必要とします。QUOTA_PROJECT: 割り当てと課金に使用するプロジェクトの ID。
gcloud recommender insights list コマンドの出力には次のフィールドが含まれます。
name: 推奨の名前。description: 人が読める形式での分析情報の説明。associatedRecommendations: 関連する推奨事項のリスト。
詳細については、 Recommender のドキュメントをご覧ください。
API
推奨事項を表示するには、
Recommender API で
google.cloud.security.GeneralRecommender Recommender ID を使用します。
次の bash スクリプトの例では、
アプリケーションのデフォルト認証情報から返されたアクセス トークンを、
curl リクエストに使用します。アプリケーションのデフォルト認証情報の設定については、
アプリケーションのデフォルト認証情報に認証情報を提供するをご覧ください。
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global RECOMMENDER_ID=google.cloud.security.GeneralRecommender QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/recommenders/$RECOMMENDER_ID/recommendations
次のように置き換えます。
ORGANIZATION_ID: 組織の ID。QUOTA_PROJECT: 割り当てと課金に使用するプロジェクトの ID。
レスポンスには次のフィールドがあります。
name推奨の名前。description: 対人可読な推奨事項の説明。associatedInsights: 関連する分析情報のリスト。
分析情報を表示するには、
Recommender API で
google.cloud.security.GeneralInsight 分析情報の種類を使用します。
次の bash スクリプトの例では、
アプリケーションのデフォルト認証情報から返されたアクセス トークンを、
curl リクエストに使用します。アプリケーションのデフォルト認証情報の設定については、
アプリケーションのデフォルト認証情報に認証情報を提供するをご覧ください。
ORGANIZATION_ID=ORGANIZATION_ID LOCATION=global INSIGHT_TYPE=google.cloud.security.GeneralInsight QUOTA_PROJECT=QUOTA_PROJECT curl \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "x-goog-user-project: $QUOTA_PROJECT" \ https://recommender.googleapis.com/v1/organizations/$ORGANIZATION_ID/locations/$LOCATION/insightTypes/$INSIGHT_TYPE/insights
次のように置き換えます。
ORGANIZATION_ID: 組織の ID。QUOTA_PROJECT: 割り当てと課金に使用するプロジェクトの ID。
レスポンスには次のフィールドがあります。
name推奨の名前。description: 対人可読な推奨事項の説明。associatedRecommendations: 関連する推奨事項のリスト。
詳細については、 Recommender API の使用をご覧ください。
BigQuery へのエクスポート
推奨事項と分析情報は、BigQuery テーブルに一括でエクスポートすることもできます。 詳細については、 BigQuery Export に関するドキュメントをご覧ください。
Advisory Notifications の推奨事項に対応する
以降のセクションでは、特定の Advisory Notifications の推奨事項に対応するための具体的なアドバイスを提供します。各セクションは、Advisory Notifications Recommender サブタイプに対応しています。次のリストは、Recommender サブタイプのセクションを示しています。
Advisory Notifications へのアクセス権の付与
このセクションでは、SECURITY_ESSENTIAL_CONTACTS_WITHOUT_ADVISORY_NOTIFICATIONS Recommender サブタイプの推奨事項に対応する方法について説明します。
セキュリティとすべてのカテゴリの重要な連絡先の一部に Advisory Notifications へのアクセス権がないため、この推奨事項が表示されました。つまり、これらの連絡先はメール通知を受け取りますが、 コンソールで通知を表示することはできません。 Google Cloud
親グループまたはドメインを介してアクセス権を付与するのではなく、重要な連絡先ごとに Advisory Notifications へのアクセス権を付与することをおすすめします。 重要な連絡先ごとにアクセス権を付与すると、今後誤ってアクセス権が取り消される可能性が低くなります。また、自己文書化されたAdvisory Notifications 閲覧者のロールを使用して、バインディングが存在する理由を明確にすることもできます。
この推奨事項を適用する手順は次のとおりです。
重要な連絡先の構成で、組織レベルのセキュリティの重要な連絡先をすべて見つけます。これらは、セキュリティとすべてのカテゴリの連絡先です。
Identity and Access Management 管理ページで、Advisory Notifications 閲覧者(
roles/advisorynotifications.viewer)ロールを割り当てることで、各連絡先に Advisory Notifications を表示する権限を付与します。Advisory Notifications の表示に必要な特定の権限については、viewing Advisory Notifications を表示するをご覧ください。
Advisory Notifications 閲覧者の構成
このセクションでは、NO_VIEWERS_OF_ADVISORY_NOTIFICATIONS Recommender サブタイプの推奨事項に対応する方法について説明します。
組織内の Advisory Notifications へのアクセス権を持つプリンシパルを特定できなかったため、この推奨事項が表示されました。
セキュリティとプライバシーに関する重要な通知を受信できるように、重要な連絡先と Advisory Notifications を構成することをおすすめします。
この推奨事項を適用する手順は次のとおりです。
[重要な連絡先] ページで、組織レベルのセキュリティの重要な連絡先を構成します。
Identity and Access Management 管理ページで、Advisory Notifications 閲覧者ロール(
roles/advisorynotifications.viewer)を割り当てることで、各連絡先に Advisory Notifications を表示する権限を付与します。Advisory Notifications の表示に必要な特定の権限については、viewing Advisory Notifications を表示するをご覧ください。
重要な連絡先を使用しない場合は、セキュリティ管理者など、組織内の適切な関係者に Advisory Notifications の表示権限を付与することをおすすめします。重要な連絡先を構成せずに Advisory Notifications の表示権限を付与しても、関係者が Advisory Notifications からメール通知を受け取るとは限りません。
料金
料金の詳細については、Recommender の料金をご覧ください。
次のステップ
- Advisory Notifications の詳細を確認する。
- Recommender とその API を学習する。