Recuperare gli errori di VPC Service Controls dagli audit log

Questa pagina descrive come trovare gli errori di Controlli di servizio VPC utilizzando Cloud Logging.

I Controlli di servizio VPC contribuiscono a mitigare i rischi di esfiltrazione di dati isolando i servizi Google Cloud multi-tenant. Per ulteriori informazioni, consulta la Panoramica dei Controlli di servizio VPC.

Determinare se un errore è dovuto ai Controlli di servizio VPC

I Controlli di servizio VPC possono modificare le proprietà di Google Cloud e avere effetti a cascata sui servizi. Ciò può rendere difficile il debug degli eventuali problemi, soprattutto se non sai cosa cercare.

La propagazione e l'applicazione delle modifiche al perimetro del servizio possono richiedere fino a 30 minuti. Una volta propagate le modifiche, l'accesso ai servizi limitati nel perimetro non è consentito oltre il confine del perimetro, a meno che non sia esplicitamente autorizzato.

Per determinare se un errore è correlato a Controlli di servizio VPC, controlla se hai attivato Controlli di servizio VPC e li hai applicati ai progetti e ai servizi che stai tentando di utilizzare. Per verificare se i progetti e i servizi sono protetti da Controlli di servizio VPC, controlla il criterio Controlli di servizio VPC a quel livello della gerarchia delle risorse.

Considera uno scenario di esempio in cui utilizzi indirettamente un servizio contrassegnato come servizio limitato dai Controlli di servizio VPC in un progetto che si trova all'interno di un perimetro di servizio. In questo caso, i Controlli di servizio VPC potrebbero negare l'accesso.

In genere, i servizi propagano i messaggi di errore dalle relative dipendenze. Se si verifica uno dei seguenti errori, è presente un problema con Controlli di servizio VPC.

  • Cloud Storage: 403: Request violates VPC Service Controls.

  • BigQuery: 403: VPC Service Controls: Request is prohibited by organization's policy.

  • Altri servizi: 403: Request is prohibited by organization's policy.

Utilizza l'ID univoco dell'errore

A differenza della console Google Cloud, lo strumento a riga di comando gcloud restituisce un ID univoco per gli errori di Controlli di servizio VPC. Per individuare le voci di log relative ad altri errori, filtra i log utilizzando i metadati.

Un errore generato da Controlli di servizio VPC include un ID univoco utilizzato per identificare gli audit log pertinenti.

Per ottenere informazioni su un errore utilizzando l'ID univoco:

  1. Nella console Google Cloud, vai alla pagina Cloud Logging per il progetto all'interno del perimetro di servizio che ha attivato l'errore.

    Vai a Cloud Logging

  2. Nel campo del filtro di ricerca, inserisci l'ID univoco dell'errore.

Puoi vedere la voce di log pertinente.

Filtrare i log utilizzando i metadati

Puoi utilizzare Esplora log per trovare gli errori relativi a Controlli di servizio VPC. Puoi utilizzare il linguaggio di query di Logging per recuperare i log. Per informazioni sulla creazione di query, consulta Creare query utilizzando il linguaggio di query di Logging.

Console

Per ottenere gli errori di Controlli di servizio VPC delle ultime 24 ore nel logging, procedi nel seguente modo:

  1. Nella console Google Cloud, vai alla pagina Cloud Logging.

    Vai a Cloud Logging

  2. Assicurati di essere nel progetto all'interno del perimetro del servizio.

  3. Nel campo del filtro di ricerca, inserisci quanto segue:

    protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
    
  4. Nel menu Risorsa, seleziona Risorsa sottoposta ad audit.

  5. Nel menu del selettore dell'intervallo di tempo, seleziona Ultime 24 ore.

  6. (Facoltativo) Per trovare gli errori di Controlli di servizio VPC che si sono verificati durante un periodo diverso, utilizza il menu Selettore di intervalli di tempo.

gcloud

  • Per ottenere gli errori di Controlli di servizio VPC delle ultime 24 ore, esegui il seguente comando:

    gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'
    

    Per impostazione predefinita, il comando read è limitato alle ultime 24 ore. Per ottenere i log dei Controlli di servizio VPC per un periodo diverso, utilizza uno dei seguenti comandi:

  • Per recuperare i log generati in un determinato periodo dalla data corrente, esegui il seguente comando:

    gcloud logging read \
    'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
      --freshness=DURATION
    

    DURATION è un periodo di tempo formattato. Per ulteriori informazioni sulla formattazione, consulta i formati di durata e ora relativi per gcloud CLI.

  • Per recuperare tutti gli errori di Controlli di servizio VPC che si sono verificati nella settimana precedente, esegui il seguente comando:

    gcloud logging read \
    'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
      --freshness=7d
    
  • Per recuperare i log generati tra date specifiche, esegui il seguente comando:

    gcloud logging read \
    'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
    timestamp>="START_DATETIME" AND
    timestamp<="END_DATETIME"'
    

    START_DATETIME e END_DATETIME sono stringhe di data e ora con formattazione. Per ulteriori informazioni sulla formattazione, consulta i formati di data e ora assoluti per gcloud CLI.

    Ad esempio, per ottenere tutti gli errori di Controlli di servizio VPC che si sono verificati tra il 22 marzo 2019 e il 26 marzo 2019:

    gcloud logging read \
    'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
      timestamp>="2019-03-22T23:59:59Z" AND
      timestamp<="2019-03-26T00:00:00Z"'
    

Passaggi successivi