Cette page a été traduite par l'API Cloud Translation.

Résoudre les problèmes courants liés à VPC Service Controls avec les services Google Cloud

Cette page fournit des solutions aux problèmes que vous pouvez rencontrer lors de l'utilisation d'un Service Google Cloud situé dans un périmètre VPC Service Controls.

Problèmes liés à Cloud Build

L'utilisation de ressources Cloud Build dans un périmètre VPC Service Controls certaines limites connues. Pour en savoir plus, consultez la section Limites de l'utilisation VPC Service Controls avec Cloud Build.

L'accès aux ressources protégées est bloqué pour le compte de service Cloud Build

Cloud Build utilise le compte de service Cloud Build pour exécuter des compilations sur pour vous. Par défaut, lorsque vous exécutez une compilation sur Cloud Build, s'exécute dans un projet locataire situé en dehors de votre projet.

Les VM de calcul de Cloud Build qui génèrent des sorties de compilation se trouvent en dehors de périmètre VPC Service Controls, même si votre projet se trouve à l'intérieur périmètre. Par conséquent, pour que vos builds accèdent aux ressources situées dans le périmètre, vous devez accorder au compte de service Cloud Build l'accès Le périmètre VPC Service Controls peut être ajouté au groupe d'autorisations à un niveau supérieur ou à une règle d'entrée.

Pour en savoir plus, consultez la section Accorder l'accès au compte de service Cloud Build à l'API VPC Service Controls périmètre.

Problèmes liés à Cloud Storage

Refus lors du ciblage d'un bucket de journalisation Cloud Storage inexistant

Si le bucket de journalisation spécifié n'existe pas, VPC Service Controls refuse l'accès pour le motif de non-respect RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Vous pouvez consulter le journal du refus d'accès à l'aide de la VPC Service Controls Identifiant unique (vpcServiceControlUniqueIdentifier). Voici un exemple Exemple de journal avec le motif de non-respect RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER:

"serviceName": "storage.googleapis.com",
"methodName": "google.storage.buckets.update",
"resourceName": "projects/325183452875",
"metadata": {
  "violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
  ...
  "egressViolations": [
    {
      "sourceType": "Resource",
      "targetResource": "projects/0/buckets/this-bucket-does-not-exist",
      "source": "projects/325183452875/buckets/bucket-in-same-project",
      "servicePerimeter": "accessPolicies/875573620132/servicePerimeters/prod_perimeter"
    }]}

Si le champ targetResource de l'objet egressViolations affiche une cible avec projects/0/buckets, cela déclenche toujours un refus projects/0. n'existe pas et est considéré comme en dehors du périmètre de service.

Refus lors de l'accès aux buckets Cloud Storage publics appartenant à Google

Un périmètre de service ne peut pas contenir de projets provenant de différentes organisations. A le périmètre ne peut contenir que des projets de son organisation parente. Il y a certaines limites lorsque vous souhaitez accéder aux buckets Cloud Storage les projets d'un périmètre VPC Service Controls résidant dans un autre organisation.

C'est par exemple le cas lorsque vous souhaitez accéder à Cloud Storage Cloud Storage. Étant donné que votre projet et le projet appartenant à Google qui contient les ne se trouvent pas dans le même périmètre, VPC Service Controls refuse le déploiement avec le motif de non-respect RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Pour résoudre ce problème, vous pouvez créer des règles d'entrée et de sortie.

Accéder à un bucket Cloud Storage publiquement accessible depuis un périmètre

Si vous essayez d'accéder à un bucket Cloud Storage publiquement accessible depuis dans un périmètre de service, VPC Service Controls peut bloquer vos requêtes ce qui génère une violation de sortie.

Afin de garantir un accès réussi et cohérent à l'objet selon les besoins, nous doit appliquer une règle de sortie au périmètre de service concerné.

Problèmes liés à Security Command Center

Cette section liste les problèmes que vous pouvez rencontrer lors de l'utilisation de Security Command Center aux ressources situées à l'intérieur d'un périmètre VPC Service Controls.

Security Command Center a bloqué l'envoi de notifications à Pub/Sub

Tentative de publication de notifications Security Command Center sur un serveur Pub/Sub à l'intérieur d'un périmètre VPC Service Controls échoue avec une RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER cas de non-respect.

Nous vous recommandons d'activer Security Command Center au niveau de l'organisation. VPC Service Controls ne tient pas compte d'une organisation parente projets enfants périmètre. Pour que cela fonctionne, vous devez accorder un accès de périmètre Security Command Center.

Pour contourner ce problème, vous pouvez effectuer l'une des opérations suivantes:

Utiliser un sujet Pub/Sub dans un projet qui ne fait pas partie d'un service périmètre.
Supprimez l'API Pub/Sub du périmètre de service jusqu'à ce que le la configuration des notifications est terminée.

Pour en savoir plus sur l'activation des notifications Security Command Center envoyé à un sujet Pub/Sub, consultez la section Activer des notifications de résultat pour Pub/Sub,

Security Command Center ne peut pas analyser les ressources Compute Engine à l'intérieur d'un périmètre

Security Command Center analyse les ressources Compute Engine de vos projets à l'aide du Compte de service par produit et par projet (P4SA) service-{project_number}@gcp-sa-computescanning.iam.gserviceaccount.com Dans pour que Security Command Center puisse accéder aux ressources situées à l'intérieur du périmètre, le P4SA doit être ajouté à votre niveau d'accès ou à votre règle d'entrée. Sinon, une erreur NO_MATCHING_ACCESS_LEVEL peut s'afficher.

Security Command Center n'est pas autorisé à analyser les ressources situées à l'intérieur d'un périmètre de service

Security Health Analytics analyse les ressources de vos projets à l'aide du P4SA (par produit, compte de service par projet) service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com Pour que Security Command Center puisse accéder aux ressources le compte P4SA doit être ajouté à votre niveau d'accès d'une règle. Sinon, l'erreur NO_MATCHING_ACCESS_LEVEL s'affiche.

Problèmes liés à Google Kubernetes Engine

Cette section répertorie les problèmes que vous pouvez rencontrer lors de l'utilisation de Google Kubernetes Engine. aux ressources situées à l'intérieur d'un périmètre VPC Service Controls.

L'autoscaler ne fonctionne pas dans les périmètres où les services accessibles et les services restreints sont activés

autoscaling.googleapis.com n'est pas intégré à VPC Service Controls ne peut donc pas être ajouté aux services restreints ni aux services accessibles. Il n'est pas possible d'autoriser autoscaling.googleapis.com dans les services accessibles. Par conséquent, le L'autoscaler de clusters situés dans un périmètre avec les services accessibles activés peuvent ne pas fonctionner.

Nous vous déconseillons d'utiliser des services accessibles. Lorsque vous utilisez une adresse IP virtuelle restreinte (VIP), faites une exception pour que autoscaling.googleapis.com accède à l'adresse IP virtuelle privée dans un périmètre contenant un cluster avec autoscaling.

Problèmes liés à BigQuery

Cette section répertorie les problèmes que vous pouvez rencontrer lors de l'utilisation de BigQuery. aux ressources situées à l'intérieur d'un périmètre VPC Service Controls.

Les restrictions de périmètre VPC Service Controls ne s'appliquent pas à l'exportation des résultats des requêtes BigQuery

Si vous essayez de restreindre l'exportation de données protégées BigQuery vers Google Drive, Google Sheets ou Looker Studio, vous peut constater un écart par rapport au comportement attendu. Lorsque vous exécutez une requête les résultats sont stockés dans la mémoire locale de votre machine, comme le cache du navigateur. Cela signifie que les résultats sont désormais VPC Service Controls, ce qui vous permet d'enregistrer les résultats dans un fichier CSV Google Drive.

Dans ce scénario, VPC Service Controls fonctionne comme prévu, car le résultat est exportée à partir d'un ordinateur local situé en dehors du périmètre de service, mais la restriction globale des données BigQuery est contournée.

Pour résoudre ce problème, restreignez les autorisations IAM pour les utilisateurs en supprimant l'autorisation bigquery.tables.export. Notez que cela désactive toutes les options d'exportation.

Problèmes liés à GKE Enterprise

Cette section répertorie les problèmes que vous pouvez rencontrer lors de l'utilisation Ressources GKE Enterprise situées dans un environnement VPC Service Controls périmètre.

Pour résoudre les erreurs liées à l'utilisation de VPC Service Controls avec Cloud Service Mesh, consultez la page Résoudre les problèmes liés à VPC Service Controls pour les Cloud Service Mesh.

La configuration de GKE Enterprise Config Controller génère une violation de sortie

Le processus de configuration de GKE Enterprise Config Controller est censé échoue si aucune configuration de sortie ne permet d'atteindre containerregistry.googleapis.com par la méthode google.containers.registry.read dans un projet situé en dehors du périmètre.

Pour résoudre cette erreur, créez la règle de sortie suivante:

From:
  Identities:ANY_IDENTITY
To:
  Projects =
    NNNNNNNNNNNN
  Service =
  Service name: containerregistry.googleapis.com
  Service methods:
    containers.registry.read

Le cas de non-conformité de sortie disparaît une fois que vous avez ajouté la règle à la règle enfreinte périmètre.

Problèmes liés à Container Registry

Cette section répertorie les problèmes que vous pouvez rencontrer lors de l'utilisation de Container Registry. aux ressources situées à l'intérieur d'un périmètre VPC Service Controls.

Requêtes API Container Registry bloquées par VPC Service Controls alors qu'elles sont autorisées dans une règle d'entrée ou de sortie

Si vous avez autorisé l'accès à Container Registry à l'aide de règles d'entrée avec Champ identity_type défini sur ANY_USER_ACCOUNT ou ANY_SERVICE_ACCOUNT, accès est bloqué par VPC Service Controls.

Pour résoudre ce problème, définissez le champ identity_type sur ANY_IDENTITY dans d'entrée ou de sortie.

Erreurs de sortie d'un agent de service lors de la copie d'une image Docker appartenant à Artifact Registry vers un projet situé dans un périmètre

Lorsque vous essayez de copier une image appartenant à Artifact Registry dans votre projet dans un périmètre VPC Service Controls, vous pouvez rencontrer des erreurs de sortie dans les journaux de l'agent de service cloud-cicd-artifact-registry-copier@system.gserviceaccount.com Ce trafic de sortie se produit généralement lorsque la règle de périmètre est en mode de simulation.

Vous pouvez résoudre ce problème en créant une règle de sortie qui autorise le service accès de l'agent cloud-cicd-artifact-registry-copier@system.gserviceaccount.com au service storage.googleapis.com du projet mentionné dans les Journaux d'erreurs de VPC Service Controls.

Problèmes liés à Vertex AI

Cette section liste les problèmes que vous pouvez rencontrer lors de l'utilisation de Vertex AI aux ressources situées à l'intérieur d'un périmètre VPC Service Controls.

Les requêtes API des notebooks gérés par l'utilisateur sont bloquées par VPC Service Controls alors qu'elles sont autorisées dans une règle d'entrée ou de sortie

Si vous avez autorisé l'accès à l'API de notebooks gérés par l'utilisateur à l'aide d'une règle d'entrée et si vous avez défini identity_type comme ANY_USER_ACCOUNT ou ANY_SERVICE_ACCOUNT, VPC Service Controls bloque l'accès à l'API.