问题排查

了解问题排查步骤。如果您在使用 Security Command Center 时遇到以下问题,这些问题排查步骤可能会派上用场。

启用 Security Command Center 失败

如果您的组织政策 按网域限制身份,则启用 Security Command Center 通常失败。您和您的服务账号必须是允许的网域的一部分:

  • 在尝试启用 Security Command Center 之前,请确保您登录到允许的网域中的账号。
  • 如果您使用的是 @*.gserviceaccount.com 服务账号,请在允许的网域内将服务账号添加为身份。

Security Command Center 中的资源不会更新

如果您使用的是 VPC Service Controls,则只有在您授予对 Security Command Center 服务账号访问权限时,才能发现和更新 Security Command Center 中的资源。

如需启用资源发现功能,请向 Security Command Center 服务账号授予访问权限。这样,该服务账号就可以在 Google Cloud 控制台中完成资产发现并显示资产。 服务账号名称的格式为 service-org-organization-id@security-center-api.iam.gserviceaccount.com

查看、修改、创建和更新发现结果和资产

Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制

通知缺失或延迟

在某些情况下,通知功能可能会缺失、丢失或推迟:

  • 可能存在与 NotificationConfig 中的过滤条件匹配的发现结果。如需测试通知,请使用 Security Command Center API 创建发现结果
  • Security Command Center 服务账号必须具有 Pub/Sub 主题的 securitycenter.notificationServiceAgent 角色。服务账号名称的格式为 service-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com
    • 如果移除角色,则停用通知发布。
    • 如果您移除了角色,然后重新授予该角色,通知将被延迟。
  • 如果您删除并重新创建 Pub/Sub 主题,则通知将被丢弃。

Web Security Scanner

本部分介绍了在使用 Web Security Scanner 时遇到问题时可能会有帮助的问题排查步骤

扫描 Compute Engine 和 GKE 的错误

如果扫描的网址配置错误,Web Security Scanner 会拒绝访问。拒绝的原因可能包括:

网址使用的是临时 IP 地址

将此 IP 地址标记为静态。

  • 对于单个虚拟机上的应用,请预留虚拟机上的 IP 地址
  • 对于位于负载均衡器的应用,可预留负载均衡器上的 IP 地址。

网址映射到错误的 IP 地址

要解决发现的此问题,请参阅 DNS 注册商的服务说明。

网址映射到同一虚拟机的临时 IP 地址

将此 IP 地址标记为静态。

网址映射到预留的 IP 地址

当网址映射到同一组织的不同项目中预留的 IP 地址时,会发生此错误。为解决此问题,请为定义该映像的项目中的虚拟机或 HTTP 负载平衡器定义安全扫描。

网址映射到多个 IP 地址。

确保映射到此网址的所有 IP 地址都预留给同一项目。如果至少一个 IP 地址未预留给同一项目,则“扫描创建”,“修改”或“更新”操作将失败。

Model Armor

本部分介绍了在使用 Model Armor 遇到问题时可能会有帮助的问题排查步骤。

对 Model Armor 的所有 API 调用均返回 404(未找到网页)错误

建立与 Model Armor API 的 Private Service Connect。如果使用专用 Google 访问通道或在没有 Private Service Connect 的情况下访问 Model Armor 区域端点 (REP),通常会发生此错误。如需了解详情,请参阅关于通过 Private Service Connect 端点访问区域端点

Sensitive Data Protection 过滤器出错或被跳过

请验证以下内容:

  • Sensitive Data Protection 模板与所调用的 Model Armor 端点位于同一区域。
  • 发出 Model Armor 请求的服务代理在包含 Sensitive Data Protection 模板的项目中具有 dlp.Userdlp.Reader 角色。

此错误是由于 SanitizeUserPromptSanitizeModelResponse 请求中的客户端错误或 Sensitive Data Protection 模板存在问题而导致的。

Model Armor 全局端点错误

确保您向适当的区域端点(而非全球端点)发出 API 请求。

Model Armor 仅在其区域级端点上支持以下操作:

  • 对模板执行创建、读取、更新、删除和列出操作。
  • SanitizeUserPromptSanitizeModelResponse API 请求。

如果您向全局端点发出针对这些操作的 API 请求,则会看到以下错误。

{
 "error": {
  "code": 403,
  "message": "Write access to project '<PROJECT_ID>' was denied",
  "status": "PERMISSION_DENIED"
 }
}

后续步骤

了解 Security Command Center 错误