Questa pagina fornisce soluzioni ai problemi che potresti riscontrare quando utilizzi un servizio Google Cloud all'interno di un perimetro dei Controlli di servizio VPC.
Problemi relativi a Cloud Build
L'utilizzo delle risorse Cloud Build all'interno di un perimetro dei Controlli di servizio VPC presenta alcune limitazioni note. Per ulteriori informazioni, consulta Limitazioni dell'utilizzo dei Controlli di servizio VPC con Cloud Build.
L'account di servizio Cloud Build non può accedere alle risorse protette
Cloud Build utilizza l'account di servizio Cloud Build per eseguire le build per tuo conto. Per impostazione predefinita, quando esegui una build su Cloud Build, la build viene eseguita in un progetto tenant esterno al tuo progetto.
Le VM worker di Cloud Build che generano output di build si trovano al di fuori del perimetro dei Controlli di servizio VPC, anche se il progetto si trova all'interno del perimetro. Di conseguenza, affinché le tue build accedano alle risorse all'interno del perimetro, devi concedere all'account di servizio Cloud Build l'accesso al perimetro dei Controlli di servizio VPC aggiungendolo alla regola di livello di accesso o in entrata.
Per ulteriori informazioni, consulta Concessione all'account di servizio Cloud Build dell'accesso al perimetro dei Controlli di servizio VPC.
Problemi di Cloud Storage
Rifiuti durante il targeting di un bucket Cloud Storage di logging inesistente
Se il bucket di logging specificato non esiste, Controlli di servizio VPC nega l'accesso con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.
Puoi esaminare il log del rifiuto dell'accesso utilizzando l'identificatore univoco (vpcServiceControlUniqueIdentifier) dei Controlli di servizio VPC. Di seguito è riportato un log di esempio con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER:
"serviceName": "storage.googleapis.com",
"methodName": "google.storage.buckets.update",
"resourceName": "projects/325183452875",
"metadata": {
"violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
...
"egressViolations": [
{
"sourceType": "Resource",
"targetResource": "projects/0/buckets/this-bucket-does-not-exist",
"source": "projects/325183452875/buckets/bucket-in-same-project",
"servicePerimeter": "accessPolicies/875573620132/servicePerimeters/prod_perimeter"
}]}
Se il campo targetResource nell'oggetto egressViolations mostra una destinazione con projects/0/buckets, viene sempre attivato un rifiuto poiché projects/0 non esiste ed è considerato al di fuori del perimetro di servizio.
Rifiuti durante l'accesso ai bucket Cloud Storage pubblici di proprietà di Google
Un perimetro di servizio non può contenere progetti di organizzazioni diverse. Un perimetro può contenere solo progetti dell'organizzazione padre. L'accesso ai bucket Cloud Storage da progetti all'interno di un perimetro dei Controlli di servizio VPC che risiede in un'altra organizzazione presenta alcune limitazioni.
Un esempio tipico è quando si vuole accedere ai bucket Cloud Storage
di proprietà di Google. Poiché il progetto e il progetto di proprietà di Google che contiene il bucket di destinazione non si trovano nello stesso perimetro, Controlli di servizio VPC rifiuta la richiesta con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.
Per risolvere il problema, puoi creare regole in entrata e in uscita.
Accesso a un bucket Cloud Storage accessibile pubblicamente dall'interno di un perimetro
Se stai cercando di accedere a un bucket Cloud Storage accessibile pubblicamente dall'interno di un perimetro di servizio, Controlli di servizio VPC potrebbero bloccare le richieste generando una violazione del traffico in uscita.
Per garantire un accesso coerente e corretto all'oggetto, se necessario, dobbiamo applicare una regola in uscita al perimetro di servizio interessato.
Problemi di Security Command Center
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse di Security Command Center che si trovano all'interno di un perimetro dei Controlli di servizio VPC.
Security Command Center ha bloccato l'invio di notifiche a Pub/Sub
Il tentativo di pubblicare notifiche di Security Command Center in un argomento Pub/Sub all'interno di un perimetro dei Controlli di servizio VPC ha esito negativo con una violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.
Ti consigliamo di attivare Security Command Center a livello di organizzazione. Controlli di servizio VPC non considera un'organizzazione principale come parte del perimetro dei propri progetti figlio. Affinché questa operazione funzioni, devi concedere l'accesso perimetrale a Security Command Center.
Per risolvere il problema, puoi procedere in uno dei seguenti modi:
- Utilizza un argomento Pub/Sub in un progetto che non si trova in un perimetro di servizio.
- Rimuovi l'API Pub/Sub dal perimetro di servizio fino al completamento della configurazione delle notifiche.
Per ulteriori informazioni sull'abilitazione delle notifiche di Security Command Center inviate a un argomento Pub/Sub, consulta Abilitare le notifiche sui risultati per Pub/Sub.
Security Command Center ha bloccato l'analisi delle risorse Compute Engine all'interno di un perimetro
Security Command Center analizza le risorse Compute Engine nei tuoi progetti utilizzando l'account di servizio (P4SA) per prodotto e per progetto
service-{project_number}@gcp-sa-computescanning.iam.gserviceaccount.com. Affinché Security Command Center possa accedere alle risorse all'interno del perimetro, è necessario aggiungere P4SA al livello di accesso o alla regola in entrata.
In caso contrario, potresti visualizzare un errore NO_MATCHING_ACCESS_LEVEL.
Security Command Center ha bloccato l'analisi delle risorse all'interno di un perimetro di servizio
Security Health Analytics analizza le risorse nei tuoi progetti utilizzando il P4SA (account di servizio per prodotto, per progetto)
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.
Per consentire a Security Command Center di accedere alle risorse all'interno del perimetro, è necessario aggiungere l'account P4SA alla regola del livello di accesso o in entrata. In caso contrario, visualizzerai l'errore NO_MATCHING_ACCESS_LEVEL.
Problemi relativi a Google Kubernetes Engine
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse Google Kubernetes Engine che si trovano all'interno di un perimetro dei Controlli di servizio VPC.
Il gestore della scalabilità automatica non funziona nei perimetri in cui sono abilitati servizi accessibili e servizi limitati
autoscaling.googleapis.com non è integrato con i Controlli di servizio VPC, pertanto non può essere aggiunto ai servizi limitati né ai servizi accessibili. Non è possibile consentire l'API autoscaling.googleapis.com nei servizi accessibili. Pertanto, il gestore della scalabilità automatica dei cluster che esistono in un perimetro in cui sono abilitati servizi accessibili potrebbe non funzionare.
Sconsigliamo di utilizzare servizi accessibili. Quando utilizzi un IP virtuale (VIP) limitato, fai un'eccezione per autoscaling.googleapis.com in modo che passi al VIP privato in un perimetro che contiene un cluster con scalabilità automatica.
Problemi relativi a BigQuery
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse BigQuery all'interno di un perimetro dei Controlli di servizio VPC.
Le limitazioni del perimetro dei Controlli di servizio VPC non si applicano all'esportazione dei risultati delle query di BigQuery
Se stai cercando di limitare l'esportazione dei dati protetti da BigQuery a Google Drive, Fogli Google o Looker Studio, potresti notare alcune deviazioni dal comportamento previsto. Quando esegui una query dall'interfaccia utente di BigQuery, i risultati vengono archiviati nella memoria locale della tua macchina, come la cache del browser. Ciò significa che ora i risultati si trovano al di fuori dei Controlli di servizio VPC e puoi salvarli in un file CSV o su Google Drive.
In questo scenario, Controlli di servizio VPC funziona come previsto poiché il risultato viene esportato da una macchina locale che si trova al di fuori del perimetro di servizio, ma la limitazione generale dei dati di BigQuery viene aggirata.
Per risolvere questo problema, limita le autorizzazioni IAM per gli utenti rimuovendo l'autorizzazione bigquery.tables.export. Tieni presente che questa operazione disattiverà
tutte le opzioni di esportazione.
Problemi di GKE Enterprise
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse GKE Enterprise che si trovano all'interno di un perimetro di Controlli di servizio VPC.
Per risolvere gli errori relativi all'utilizzo dei Controlli di servizio VPC con Anthos Service Mesh, consulta Risolvere i problemi relativi ai Controlli di servizio VPC per Anthos Service Mesh.
La configurazione di GKE Enterprise Config Controller genera una violazione in uscita
Il processo di configurazione di GKE Enterprise Config Controller dovrebbe non riuscire se non è presente una configurazione in uscita che consenta di raggiungere containerregistry.googleapis.com con il metodo google.containers.registry.read in un progetto al di fuori del perimetro.
Per risolvere questo errore, crea la seguente regola in uscita:
From:
Identities:ANY_IDENTITY
To:
Projects =
NNNNNNNNNNNN
Service =
Service name: containerregistry.googleapis.com
Service methods:
containers.registry.read
La violazione in uscita scompare dopo che hai aggiunto la regola al perimetro violato.
Problemi con Container Registry
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse di Container Registry che si trovano all'interno di un perimetro dei Controlli di servizio VPC.
Richieste API Container Registry bloccate dai Controlli di servizio VPC nonostante siano consentite in una regola in entrata o in uscita
Se hai consentito l'accesso a Container Registry utilizzando le regole in entrata con il campo identity_type impostato su ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, l'accesso è bloccato dai Controlli di servizio VPC.
Per risolvere il problema, aggiorna il campo identity_type impostandolo su ANY_IDENTITY nella regola in entrata o in uscita.
Errori in uscita da un account di servizio gestito da Google durante la copia dell'immagine Docker di proprietà di Artifact Registry in un progetto in un perimetro
Quando provi a copiare un'immagine di proprietà di Artifact Registry nel tuo progetto che si trova all'interno di un perimetro dei Controlli di servizio VPC, potresti riscontrare errori in uscita nei log dell'account di servizio gestito da Google cloud-cicd-artifact-registry-copier@system.gserviceaccount.com. Questo errore in uscita si verifica di solito quando il criterio del perimetro è in modalità di prova.
Puoi risolvere il problema creando una regola in uscita che consenta all'account di servizio cloud-cicd-artifact-registry-copier@system.gserviceaccount.com di accedere al servizio storage.googleapis.com nel progetto menzionato nei log degli errori dei Controlli di servizio VPC.
Problemi con Vertex AI
Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse Vertex AI che si trovano all'interno di un perimetro dei Controlli di servizio VPC.
Richieste API blocchi note gestiti dall'utente bloccate dai Controlli di servizio VPC nonostante siano consentite in una regola in entrata o in uscita
Se hai consentito l'accesso all'API Notebooks gestiti dall'utente utilizzando un criterio in entrata e hai impostato identity_type su ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, Controlli di servizio VPC blocca l'accesso all'API.
Per risolvere il problema, aggiorna il campo identity_type impostandolo su ANY_IDENTITY nella regola in entrata o in uscita.
Problemi relativi a Spanner
Il backup del database Spanner è bloccato dalla NO_MATCHING_ACCESS_LEVELviolazione dell'account di servizio per prodotto e progetto (P4SA)service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com.
Per risolvere il problema, aggiungi una regola in entrata con l'agente di servizio sopra indicato o aggiungila a un livello di accesso.
Passaggi successivi
- Scopri di più sulle limitazioni note dell'utilizzo dei Controlli di servizio VPC con vari servizi Google Cloud.
- Scopri come l'identificatore univoco dei Controlli di servizio VPC aiuta a risolvere i problemi relativi ai perimetri di servizio.