ユーザー パスワード ポリシーを設定してインスタンスのセキュリティを強化する

このページでは、組み込み認証ユーザーに対してユーザー パスワード ポリシーが有効になっていないインスタンスに対するユーザー パスワード ポリシーの設定に関する推奨事項を確認し、実装する方法について説明します。ユーザー パスワード ポリシー(有効期限や、失敗回数が指定回数を超えた際のロックなど)は、パスワードの不正使用を防ぎ、コンプライアンスに役立ちます。この Recommender は、インスタンスのパスワード ポリシーの有効化と呼ばれます。

この Recommender は、ユーザーのパスワード ポリシーが有効になっていないインスタンスを毎日プロアクティブに検出し、インスタンスのセキュリティを強化するための分析情報と推奨事項を提供します。これらのインスタンスに関する分析情報と詳細な推奨事項は、 Cloud de Confiance コンソール、gcloud CLI、または Recommender API を使用して表示できます。

始める前に

Recommender API が有効になっていることを確認します。

必要なロールと権限

分析情報と推奨事項を表示、操作する権限を取得するには、必要な Identity and Access Management(IAM)ロールがあることを確認してください。

タスク ロール
推奨事項を表示する recommender.cloudsqlViewer または cloudsql.admin
推奨事項を適用する cloudsql.editor または cloudsql.admin
IAM ロールの詳細については、IAM の基本ロールと事前定義ロールのリファレンスプロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

推奨事項を一覧取得する

推奨事項を一覧取得する手順は次のとおりです。

コンソール

インスタンスのセキュリティに関する推奨事項を一覧表示する手順は次のとおりです。

  1. Cloud SQL の [インスタンス] ページに移動します。

    Cloud SQL の [インスタンス] に移動

  2. インスタンスのテーブルで [問題] 列を表示します。

または、次の方法を行います。

  1. [Active Assist] に移動します。

    [Active Assist] に移動

    詳細については、推奨事項の確認をご覧ください。

  2. [すべての推奨事項] カードで [セキュリティ] をクリックします。

gcloud

次のように gcloud recommender recommendations list コマンドを実行します。

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=ENABLE_USER_PASSWORD_POLICY

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように recommendations.list メソッドを呼び出します。

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ENABLE_USER_PASSWORD_POLICY

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

分析情報と詳細な推奨事項を表示する

分析情報と詳細な推奨事項を表示する手順は次のとおりです。

コンソール

推奨事項を表示したら、推奨事項をクリックします。推奨事項のパネルが表示されます。このパネルには、分析情報と詳細な推奨事項が含まれています。

gcloud

次のように gcloud recommender insights list コマンドを実行します。


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=USER_PASSWORD_POLICY_NOT_ENABLED

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

API

次のように insights.list メソッドを呼び出します。


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=USER_PASSWORD_POLICY_NOT_ENABLED

次のように置き換えます。

  • PROJECT_ID: プロジェクト ID。
  • LOCATION: インスタンスが配置されているリージョン(us-central1 など)。

推奨事項を適用する

コンソール

推奨事項を実装するには、インスタンスでユーザー パスワード ポリシーを有効にします。

gcloud

推奨事項を実装するには、インスタンスでユーザー パスワード ポリシーを有効にします。

API

推奨事項を実装するには、インスタンスでユーザー パスワード ポリシーを有効にします。

次のステップ