パスワード ポリシーを設定してインスタンスのセキュリティを強化する

このページでは、組み込み認証ユーザー向けのインスタンス パスワード ポリシーが有効になっていないインスタンスに対するパスワード ポリシーの設定に関する推奨事項を表示し、実装する方法について説明します。パスワード ポリシーを有効にすると、脆弱なパスワードの作成を防止でき、コンプライアンスに役立ちます。この Recommender は、インスタンスのパスワード ポリシーの有効化と呼ばれます。

この Recommender は、インスタンスのパスワード ポリシーが有効になっていないインスタンスを毎日プロアクティブに検出し、インスタンスのセキュリティを強化するための分析情報と推奨事項を提供します。これらのインスタンスに関する分析情報と詳細な推奨事項は、 Cloud de Confiance コンソール、gcloud CLI、または Recommender API を使用して表示できます。

始める前に

Recommender API が有効になっていることを確認します。

必要なロールと権限

分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。

タスク ロール
推奨事項を表示する recommender.cloudsqlViewer または cloudsql.admin
推奨事項を適用する cloudsql.editor または cloudsql.admin
IAM ロールの詳細については、IAM の基本ロールと事前定義ロールのリファレンスプロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

推奨事項を一覧取得する

推奨事項を一覧取得する手順は次のとおりです。

コンソール

インスタンスのセキュリティに関する推奨事項を一覧表示する手順は次のとおりです。

  1. Cloud SQL の [インスタンス] ページに移動します。

    Cloud SQL の [インスタンス] に移動

  2. インスタンスのテーブルで [問題] 列を表示します。

または、次の方法を行います。

  1. [Active Assist] に移動します。

    [Active Assist] に移動

    詳細については、推奨事項の確認をご覧ください。

  2. [すべての推奨事項] カードで [セキュリティ] をクリックします。

gcloud

次のように gcloud recommender recommendations list コマンドを実行します。

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=ENABLE_INSTANCE_PASSWORD_POLICY

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように recommendations.list メソッドを呼び出します。

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ENABLE_INSTANCE_PASSWORD_POLICY

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

分析情報と詳細な推奨事項を表示する

分析情報と詳細な推奨事項を表示する手順は次のとおりです。

コンソール

推奨事項を表示したら、推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。

gcloud

次のように gcloud recommender insights list コマンドを実行します。


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=INSTANCE_PASSWORD_POLICY_NOT_ENABLED

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように insights.list メソッドを呼び出します。


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=INSTANCE_PASSWORD_POLICY_NOT_ENABLED

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

推奨事項を適用する

コンソール

推奨事項を実装するには、[パスワード ポリシーの管理] をクリックし、インスタンスでインスタンスのパスワード ポリシーを有効にします

gcloud

推奨事項を実装するには、インスタンスでインスタンス パスワード ポリシーを有効にします

API

推奨事項を実装するには、インスタンスでインスタンス パスワード ポリシーを有効にします

次のステップ