문제 해결

Security Command Center를 사용하는 동안 다음과 같은 문제가 발생할 경우 도움이 될 수 있는 문제해결 단계에 대해 알아보세요.

Security Command Center 사용 설정 실패

조직 정책이 도메인별로 ID를 제한하는 경우 가장 일반적으로 Security Command Center 사용 설정이 실패합니다. 사용자와 서비스 계정은 허용된 도메인의 일부여야 합니다.

  • Security Command Center를 사용 설정하기 전에 허용된 도메인에 있는 계정에 로그인해야 합니다.
  • @*.gserviceaccount.com 서비스 계정을 사용하는 경우 허용된 도메인 내의 그룹에서 서비스 계정을 ID로 추가합니다.

Security Command Center의 애셋이 업데이트되지 않음

VPC 서비스 제어를 사용하는 경우 Security Command Center의 애셋은 Security Command Center 서비스 계정에 액세스 권한을 부여할 때만 검색하고 업데이트할 수 있습니다.

애셋 탐색을 사용 설정하려면 Security Command Center 서비스 계정에 액세스 권한을 부여합니다. 그러면 서비스 계정이 애셋 탐색을 완료하고 Google Cloud 콘솔에 애셋을 표시할 수 있습니다. 서비스 계정 이름은 service-org-organization-id@security-center-api.iam.gserviceaccount.com 형식입니다.

발견 항목 및 애셋 보기, 수정, 생성, 업데이트

Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 사항, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.

누락되었거나 지연된 알림

경우에 따라 알림이 누락, 삭제, 지연될 수 있습니다.

  • NotificationConfig의 필터와 일치하는 발견 항목이 없을 수도 있습니다. 알림을 테스트하려면 Security Command Center API를 사용하여 발견 항목을 만듭니다.
  • Security Command Center 서비스 계정에는 Pub/Sub 주제에 대한 securitycenter.notificationServiceAgent 역할이 있어야 합니다. 서비스 계정 이름은 service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com 형식입니다.
    • 역할을 삭제하면 알림 게시가 사용 중지됩니다.
    • 역할을 삭제한 후 다시 역할을 부여하면 알림이 지연됩니다.
  • Pub/Sub 주제를 삭제하고 다시 만들면 알림이 삭제됩니다.

Web Security Scanner

이 섹션에서는 Web Security Scanner 사용 중에 문제가 발생할 경우 도움이 될 수 있는 문제해결 단계가 포함되어 있습니다.

Compute Engine 및 GKE의 스캔 오류

스캔의 URL이 잘못 구성된 경우 Web Security Scanner는 URL을 거부합니다. 거부 이유에는 다음이 포함될 수 있습니다.

URL에 임시 IP 주소가 있습니다.

이 IP 주소를 고정 주소로 설정합니다.

  • 단일 VM의 애플리케이션의 경우 VM에 IP 주소를 예약합니다.
  • 부하 분산기 뒤에 있는 애플리케이션의 경우 부하 분산기에 IP 주소를 예약합니다.

URL이 잘못된 IP 주소에 매핑되어 있습니다.

이 발견 사항을 수정하려면 DNS 등록기관 서비스의 안내를 참조하세요.

URL이 동일한 VM의 임시 IP 주소에 매핑되어 있습니다.

이 IP 주소를 고정 주소로 설정합니다.

URL이 예약된 IP 주소에 매핑되어 있습니다.

이 오류는 URL이 동일한 조직의 다른 프로젝트에서 예약된 IP 주소에 매핑될 때 발생합니다. 이 문제를 해결하려면 스캔을 정의할 프로젝트의 VM 또는 HTTP 부하 분산기를 대상으로 하는 보안 스캔을 정의합니다.

URL이 두 개 이상의 IP 주소에 매핑되어 있습니다.

이 URL에 매핑된 모든 IP 주소가 동일한 프로젝트에 예약되어 있는지 확인합니다. 동일한 프로젝트에 예약되지 않은 IP 주소가 하나 이상 있는 경우 스캔 만들기, 수정, 업데이트 작업이 실패합니다.

Model Armor

이 섹션에는 Model Armor 사용 시 문제가 발생할 경우 도움이 될 수 있는 문제 해결 단계가 포함되어 있습니다.

Model Armor에 대한 모든 API 호출이 404 Not Found 오류를 반환함

Model Armor API에 Private Service Connect를 설정합니다. 이 오류는 일반적으로 비공개 Google 액세스를 사용하거나 Private Service Connect 없이 Model Armor 리전 엔드포인트(REP)에 액세스할 때 발생합니다. 자세한 내용은 Private Service Connect 엔드포인트를 통한 리전 엔드포인트 액세스 정보를 참조하세요.

Sensitive Data Protection 필터에 오류가 발생하거나 필터가 건너뛰어짐

다음 사항을 확인하세요.

  • Sensitive Data Protection 템플릿이 호출되는 Model Armor 엔드포인트와 동일한 리전에 있습니다.
  • Model Armor 요청을 하는 서비스 에이전트에는 Sensitive Data Protection 템플릿이 포함된 프로젝트의 dlp.Userdlp.Reader 역할이 있습니다.

이 오류는 SanitizeUserPrompt 또는 SanitizeModelResponse 요청의 클라이언트 오류 또는 Sensitive Data Protection 템플릿의 문제로 인해 발생합니다.

Model Armor 전역 엔드포인트 오류

전역 엔드포인트가 아닌 적절한 리전 엔드포인트에 API 요청을 하고 있는지 확인합니다.

Model Armor는 리전 엔드포인트에서만 다음 작업을 지원합니다.

  • 템플릿에 대한 생성, 읽기, 업데이트, 삭제, 나열 작업
  • SanitizeUserPromptSanitizeModelResponse API 요청

이러한 작업에 대한 API 요청을 전역 엔드포인트에 전송하면 다음 오류가 표시됩니다.

{
 "error": {
  "code": 403,
  "message": "Write access to project '<PROJECT_ID>' was denied",
  "status": "PERMISSION_DENIED"
 }
}

다음 단계

Security Command Center 오류 알아보기