Recuperar errores de Controles de Servicio de VPC de los registros de auditoría

En esta página se describe cómo puedes encontrar errores de Controles de Servicio de VPC mediante Cloud Logging.

Controles de Servicio de VPC ayuda a mitigar los riesgos de filtración externa de datos aislando los servicios Google Cloud multitenant. Para obtener más información, consulta Descripción general de Controles de Servicio de VPC.

Determinar si un error se debe a Controles de Servicio de VPC

Controles de Servicio de VPC puede modificar las propiedades de Google Cloud y tener efectos en cascada en los servicios. Esto puede dificultar la depuración de problemas, sobre todo si no sabes qué buscar.

Los cambios en el perímetro de servicio pueden tardar hasta 30 minutos en propagarse y aplicarse. Cuando los cambios se hayan propagado, no se permitirá que el acceso a los servicios restringidos en el perímetro cruce el límite del perímetro, a menos que se autorice explícitamente.

Para determinar si un error está relacionado con Controles de Servicio de VPC, comprueba si has habilitado Controles de Servicio de VPC y lo has aplicado a los proyectos y servicios que intentas usar. Para comprobar si los proyectos y servicios están protegidos por Controles de Servicio de VPC, consulta la política de Controles de Servicio de VPC en ese nivel de la jerarquía de recursos.

Imagina una situación en la que usas indirectamente un servicio marcado como servicio restringido por Controles de Servicio de VPC en un proyecto que está dentro de un perímetro de servicio. En ese caso, Controles de Servicio de VPC podría denegar el acceso.

Normalmente, los servicios propagan los mensajes de error de sus dependencias. Si te encuentras con uno de los siguientes errores, significa que hay un problema con Controles de Servicio de VPC.

  • Cloud Storage: 403: Request violates VPC Service Controls.

  • BigQuery: 403: VPC Service Controls: Request is prohibited by organization's policy.

  • Otros servicios: 403: Request is prohibited by organization's policy.

Usar el ID único del error

A diferencia de la consola Google Cloud , la herramienta de línea de comandos gcloud devuelve un ID único para los errores de Controles de Servicio de VPC. Para localizar entradas de registro de otros errores, filtra los registros mediante metadatos.

Los errores generados por Controles de Servicio de VPC incluyen un ID único que se usa para identificar los registros de auditoría pertinentes.

Para obtener información sobre un error mediante el ID único, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Cloud Logging del proyecto que se encuentra dentro del perímetro de servicio que ha activado el error.

    Ir a Cloud Logging

  2. En el campo de filtro de búsqueda, introduce el ID único del error.

Puedes ver la entrada de registro correspondiente.

Filtrar registros mediante metadatos

Puedes usar el Explorador de registros para buscar errores relacionados con Controles de Servicio de VPC. Puedes usar el lenguaje de consultas de almacenamiento de registros para obtener los registros. Para obtener información sobre cómo crear consultas, consulta el artículo Crear consultas con el lenguaje de consultas de almacenamiento de registros.

Consola

Para obtener los errores de Controles de Servicio de VPC de las últimas 24 horas en Logging, haz lo siguiente:

  1. En la Google Cloud consola, ve a la página Cloud Logging.

    Ir a Cloud Logging

  2. Asegúrate de que estás en el proyecto que se encuentra dentro del perímetro de servicio.

  3. En el campo de búsqueda o filtro, introduce lo siguiente:

    protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

  4. En el menú Recurso, selecciona Recurso auditado.

  5. En el menú del selector de periodo, selecciona Últimas 24 horas.

  6. Opcional: Para buscar los errores de Controles de Servicio de VPC que se hayan producido durante otro periodo, usa el menú selector de intervalo de tiempo.

gcloud

  • Para obtener los errores de Controles de Servicio de VPC de las últimas 24 horas, ejecuta el siguiente comando:

    gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'

    De forma predeterminada, el comando read está limitado a las últimas 24 horas. Para obtener los registros de Controles de Servicio de VPC de otro periodo, usa uno de los siguientes comandos:

  • Para obtener los registros que se generaron en un periodo determinado a partir de la fecha actual, ejecuta el siguiente comando:

    gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=DURATION

    DURATION es un periodo de tiempo con formato. Para obtener más información sobre el formato, consulta los formatos de duración y hora relativos de la CLI de gcloud.

  • Para obtener todos los errores de Controles de Servicio de VPC que se han producido en la última semana, ejecuta el siguiente comando:

    gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=7d

  • Para recuperar los registros que se generaron entre fechas concretas, ejecuta el siguiente comando:

    gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
timestamp>="START_DATETIME" AND
timestamp<="END_DATETIME"'

    START_DATETIME y END_DATETIME son cadenas de fecha y hora con formato. Para obtener más información sobre el formato, consulta los formatos de fecha y hora absolutos de la CLI de gcloud.

    Por ejemplo, para obtener todos los errores de Controles de Servicio de VPC que se hayan producido entre el 22 y el 26 de marzo del 2019, haz lo siguiente:

    gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
  timestamp>="2019-03-22T23:59:59Z" AND
  timestamp<="2019-03-26T00:00:00Z"'

Siguientes pasos