Consulta los pasos para solucionar problemas que pueden resultarte útiles si tienes alguno de los siguientes problemas al usar Security Command Center.
No se puede habilitar Security Command Center
La habilitación de Security Command Center suele fallar si las políticas de tu organización restringen las identidades por dominio. Tanto tú como tu cuenta de servicio debéis formar parte de un dominio permitido:
- Antes de intentar habilitar Security Command Center, asegúrate de iniciar sesión en una cuenta que pertenezca a un dominio permitido.
- Si usas una cuenta de servicio de
@*.gserviceaccount.com, añádela como identidad a un grupo de un dominio permitido.
Los recursos de Security Command Center no se actualizan
Si usas Controles de Servicio de VPC, los recursos de Security Command Center solo se pueden detectar y actualizar cuando das acceso a la cuenta de servicio de Security Command Center.
Para habilitar la detección de recursos, concede acceso a la cuenta de servicio de Security Command Center. De esta forma, la cuenta de servicio puede completar la detección de recursos y mostrar los recursos en la consola Google Cloud .
El nombre de la cuenta de servicio tiene el formato
service-org-organization-id@security-center-api.iam.gserviceaccount.com.
Ver, editar, crear y actualizar detecciones y recursos
Los roles de gestión de identidades y accesos de Security Command Center se pueden conceder a nivel de organización, carpeta o proyecto. La posibilidad de ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel de acceso que se te haya concedido. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Faltan notificaciones o se reciben con retraso
En algunas situaciones, es posible que las notificaciones no lleguen, se pierdan o se retrasen:
- Puede que no haya ningún resultado que coincida con los filtros de tu
NotificationConfig. Para probar las notificaciones, usa la API de Security Command Center para crear un resultado. - La cuenta de servicio de Security Command Center debe tener el rol
securitycenter.notificationServiceAgenten el tema de Pub/Sub. El nombre de la cuenta de servicio tiene el formatoservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.- Si quitas el rol, se inhabilitará la publicación de notificaciones.
- Si quitas el rol y, después, lo vuelves a asignar, las notificaciones se retrasarán.
- Si eliminas y vuelves a crear el tema de Pub/Sub, las notificaciones se perderán.
Web Security Scanner
En esta sección se incluyen pasos para solucionar problemas que pueden resultarte útiles si tienes problemas al usar Web Security Scanner.
Errores de análisis de Compute Engine y GKE
Si la URL de un análisis no está configurada correctamente, Web Security Scanner la rechaza. Entre las posibles razones por las que se rechaza una solicitud se incluyen las siguientes:
La URL tiene una dirección IP efímera
Marca esta dirección IP como estática:
- En el caso de una aplicación en una sola máquina virtual, reserva la dirección IP en la máquina virtual
- En el caso de una aplicación que se encuentre detrás de un balanceador de carga, reserva la dirección IP en el balanceador de carga.
La URL se asigna a una dirección IP incorrecta
Para solucionar este problema, consulta las instrucciones de tu servicio de registrador de DNS.
La URL está asignada a una dirección IP efímera de la misma VM
Marca esta dirección IP como estática.
La URL está asignada a una dirección IP reservada
Este error se produce cuando la URL se asigna a una dirección IP reservada en otro proyecto de la misma organización. Para solucionar este problema, defina análisis de seguridad para la VM o el balanceador de carga HTTP en el proyecto en el que se haya definido.
La URL se ha asignado a más de una dirección IP.
Asegúrate de que todas las direcciones IP asignadas a esta URL estén reservadas para el mismo proyecto. Si hay al menos una dirección IP que no esté reservada para el mismo proyecto, la operación de creación, edición o actualización de análisis fallará.
Model Armor
En esta sección se incluyen pasos para solucionar problemas que pueden resultarte útiles si tienes problemas al usar Model Armor.
Todas las llamadas a la API Model Armor devuelven un error 404 Not Found
Establece una conexión de Private Service Connect con las APIs de Model Armor. Este error suele producirse cuando se accede a los endpoints regionales (REPs) de Model Armor mediante el acceso privado a Google o sin Private Service Connect. Para obtener más información, consulta Información sobre el acceso a puntos finales regionales a través de puntos finales de Private Service Connect.
El filtro de Protección de Datos Sensibles da un error o se omite
Comprueba lo siguiente:
- La plantilla de Protección de Datos Sensibles está en la misma región que el endpoint de Model Armor al que se llama.
- El agente de servicio que realiza la solicitud de Model Armor tiene los roles
dlp.Userydlp.Readeren el proyecto que contiene la plantilla de Protección de Datos Sensibles.
Este error se debe a errores del cliente en las solicitudes SanitizeUserPrompt o SanitizeModelResponse
o a problemas con la plantilla de Protección de Datos Sensibles.
Errores de endpoint global de Model Armor
Asegúrate de que las solicitudes a la API se dirijan al endpoint regional adecuado en lugar de al endpoint global.
Model Armor solo admite las siguientes operaciones en sus endpoints regionales:
- Permiso para crear, leer, actualizar, eliminar y mostrar operaciones en plantillas.
- Solicitudes a las APIs
SanitizeUserPromptySanitizeModelResponse.
Si haces las solicitudes de API para esas operaciones al endpoint global, verás el siguiente error.
{
"error": {
"code": 403,
"message": "Write access to project '<PROJECT_ID>' was denied",
"status": "PERMISSION_DENIED"
}
}
Siguientes pasos
Consulta información sobre los errores de Security Command Center.