サーバー証明書をローテーションしてインスタンスのセキュリティを強化する

このページでは、サーバー証明書が 30 日以内に期限切れになるインスタンスについての、サーバー証明書のローテーションに関する推奨事項を表示および実装する方法について説明します。インスタンスのサーバー証明書が 30 日以内に期限切れになる場合、この証明書を使用しているクライアントはインスタンスに安全に接続できず、セキュリティ侵害に対して脆弱になります。この Recommenderサーバー証明書のローテーションと呼ばれます。

この Recommender は、インスタンスで証明書の期限が切れていないか毎日チェックし、インスタンスのセキュリティを強化するための分析情報と推奨事項を提供します。これらのインスタンスに関する分析情報と詳細な推奨事項は、 Cloud de Confiance コンソール、gcloud CLI、または Recommender API を使用して表示できます。

始める前に

Recommender API が有効になっていることを確認します。

必要なロールと権限

分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。

タスク ロール
推奨事項を表示する recommender.cloudsqlViewer または cloudsql.admin
推奨事項を適用する cloudsql.editor または cloudsql.admin
IAM ロールの詳細については、IAM の基本ロールと事前定義ロールのリファレンスプロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

推奨事項を一覧取得する

推奨事項を一覧取得する手順は次のとおりです。

コンソール

インスタンスのセキュリティに関する推奨事項を一覧表示する手順は次のとおりです。

  1. Cloud SQL の [インスタンス] ページに移動します。

    Cloud SQL の [インスタンス] に移動

  2. インスタンスのテーブルで [問題] 列を表示します。

または、次の方法を行います。

  1. Active Assist に移動します。

    Active Assist に移動

    詳細については、推奨事項の確認をご覧ください。

  2. [すべての推奨事項] カードで [セキュリティ] をクリックします。

gcloud

次のように gcloud recommender recommendations list コマンドを実行します。

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=ROTATE_SERVER_CERT

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように recommendations.list メソッドを呼び出します。

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ROTATE_SERVER_CERT

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

分析情報と詳細な推奨事項を表示する

分析情報と詳細な推奨事項を表示する手順は次のとおりです。

コンソール

推奨事項を表示したら、推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。

gcloud

次のように gcloud recommender insights list コマンドを実行します。


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=SERVER_CERT_EXPIRING

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように insights.list メソッドを呼び出します。


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=SERVER_CERT_EXPIRING

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

推奨事項を適用する

コンソール

推奨事項を実装するには、[サーバー証明書の管理] をクリックし、インスタンスのサーバー証明書をローテーションします。

gcloud

推奨事項を実装するには、インスタンスのサーバー証明書をローテーションします。

API

推奨事項を実装するには、インスタンスのサーバー証明書をローテーションします。

次のステップ