Questa pagina è stata tradotta dall'API Cloud Translation.

Risolvere i problemi comuni dei Controlli di servizio VPC con i servizi Google Cloud

Questa pagina fornisce soluzioni ai problemi che potresti riscontrare durante l'utilizzo di un servizio Google Cloud che si trova all'interno di un perimetro dei Controlli di servizio VPC.

Problemi di Cloud Build

L'utilizzo delle risorse Cloud Build all'interno di un perimetro dei Controlli di servizio VPC presenta alcune limitazioni note. Per ulteriori informazioni, consulta Limiti di utilizzo dei Controlli di servizio VPC con Cloud Build.

Account di servizio Cloud Build a cui è bloccato l'accesso alle risorse protette

Cloud Build utilizza l'account di servizio Cloud Build per eseguire le build per tuo conto. Per impostazione predefinita, quando esegui una build su Cloud Build, questa viene eseguita in un progetto tenant esterno al progetto.

Le VM worker di Cloud Build che generano output di build non rientrano nel perimetro dei Controlli di servizio VPC, anche se il progetto si trova all'interno del perimetro. Pertanto, affinché le build possano accedere alle risorse all'interno del perimetro, devi concedere all'account di servizio Cloud Build l'accesso al perimetro Controlli di servizio VPC aggiungendolo al livello di accesso o alla regola in entrata.

Per ulteriori informazioni, consulta la pagina su come concedere all'account di servizio Cloud Build l'accesso al perimetro dei Controlli di servizio VPC.

Problemi di Cloud Storage

Negazioni quando si sceglie come target un bucket Cloud Storage di logging inesistente

Se il bucket di logging specificato non esiste, i Controlli di servizio VPC negano l'accesso con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Puoi esaminare il log del rifiuto dell'accesso utilizzando l'identificatore univoco dei Controlli di servizio VPC (vpcServiceControlUniqueIdentifier). Di seguito è riportato un log di esempio con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER:

"serviceName": "storage.googleapis.com",
"methodName": "google.storage.buckets.update",
"resourceName": "projects/325183452875",
"metadata": {
  "violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
  ...
  "egressViolations": [
    {
      "sourceType": "Resource",
      "targetResource": "projects/0/buckets/this-bucket-does-not-exist",
      "source": "projects/325183452875/buckets/bucket-in-same-project",
      "servicePerimeter": "accessPolicies/875573620132/servicePerimeters/prod_perimeter"
    }]}

Se il campo targetResource nell'oggetto egressViolations mostra un target con projects/0/buckets, questo attiva sempre un rifiuto poiché projects/0 non esiste ed è considerato al di fuori del perimetro di servizio.

Negazioni durante l'accesso ai bucket Cloud Storage pubblici di proprietà di Google

Un perimetro di servizio non può contenere progetti di organizzazioni diverse. Un perimetro può contenere solo progetti dell'organizzazione principale. Esistono alcune limitazioni quando vuoi accedere ai bucket Cloud Storage da progetti all'interno di un perimetro dei Controlli di servizio VPC che risiede in un'altra organizzazione.

Un esempio tipico è quando si desidera accedere ai bucket Cloud Storage di proprietà di Google. Poiché il tuo progetto e il progetto di proprietà di Google contenente il bucket di destinazione non si trovano nello stesso perimetro, Controlli di servizio VPC negano la richiesta con il motivo della violazione RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Per risolvere il problema, puoi creare regole di traffico in entrata e in uscita.

Accesso a un bucket Cloud Storage accessibile pubblicamente dall'interno di un perimetro

Se stai tentando di accedere a un bucket Cloud Storage accessibile pubblicamente dall'interno di un perimetro di servizio, i Controlli di servizio VPC potrebbero bloccare le tue richieste generando una violazione del traffico in uscita.

Per garantire un accesso coerente e riuscito all'oggetto in base alle esigenze, è necessario applicare una regola in uscita al perimetro di servizio interessato.

Problemi di Security Command Center

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse di Security Command Center che si trovano all'interno di un perimetro dei Controlli di servizio VPC.

Security Command Center non può inviare notifiche a Pub/Sub

Il tentativo di pubblicare notifiche di Security Command Center in un argomento Pub/Sub all'interno di un perimetro dei Controlli di servizio VPC ha esito negativo con una violazione di RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.

Ti consigliamo di attivare Security Command Center a livello di organizzazione. I Controlli di servizio VPC non considerano un'organizzazione padre come parte del perimetro dei progetti figlio. Affinché questo comando funzioni, devi concedere l'accesso perimetrale a Security Command Center.

Come soluzione alternativa, puoi procedere in uno dei seguenti modi:

Utilizza un argomento Pub/Sub in un progetto che non si trova in un perimetro di servizio.
Rimuovi l'API Pub/Sub dal perimetro di servizio fino al completamento della configurazione delle notifiche.

Per ulteriori informazioni sull'abilitazione delle notifiche di Security Command Center inviate a un argomento Pub/Sub, consulta Abilitazione delle notifiche sui risultati per Pub/Sub.

Security Command Center non può analizzare le risorse Compute Engine all'interno di un perimetro

Security Command Center analizza le risorse Compute Engine nei tuoi progetti utilizzando l'account di servizio P4SA (P4SA) per prodotto e progetto service-{project_number}@gcp-sa-computescanning.iam.gserviceaccount.com. Affinché Security Command Center possa accedere alle risorse all'interno del perimetro, è necessario aggiungere P4SA al livello di accesso o alla regola in entrata. In caso contrario, potresti visualizzare un errore NO_MATCHING_ACCESS_LEVEL.

Security Command Center non può analizzare le risorse all'interno di un perimetro di servizio

Security Health Analytics scansiona le risorse nei tuoi progetti utilizzando il P4SA (account di servizio per prodotto, per progetto) service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com. Per consentire a Security Command Center di accedere alle risorse all'interno del perimetro, è necessario aggiungere l'account P4SA al livello di accesso o alla regola in entrata. In caso contrario, visualizzerai l'errore NO_MATCHING_ACCESS_LEVEL.

Problemi con Google Kubernetes Engine

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse di Google Kubernetes Engine che si trovano all'interno di un perimetro dei Controlli di servizio VPC.

Il gestore della scalabilità automatica non funziona nei perimetri in cui sono abilitati servizi accessibili e servizi limitati

autoscaling.googleapis.com non è integrato con i Controlli di servizio VPC, pertanto non può essere aggiunto né ai servizi limitati né ai servizi accessibili. Non è possibile consentire l'API autoscaling.googleapis.com nei servizi accessibili. Pertanto, il gestore della scalabilità automatica dei cluster che esistono in un perimetro in cui sono abilitati servizi accessibili potrebbe non funzionare.

Sconsigliamo di utilizzare servizi accessibili. Quando utilizzi un IP virtuale (VIP) limitato, imposta un'eccezione per fare in modo che autoscaling.googleapis.com passi al VIP privato in un perimetro che contiene un cluster con scalabilità automatica.

Problemi con BigQuery

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse BigQuery che si trovano all'interno di un perimetro dei Controlli di servizio VPC.

Le restrizioni per il perimetro dei Controlli di servizio VPC non si applicano all'esportazione dei risultati delle query di BigQuery

Se stai cercando di limitare l'esportazione di dati protetti da BigQuery a Google Drive, Fogli Google o Looker Studio, potresti notare una deviazione dal comportamento previsto. Quando esegui una query dall'interfaccia utente di BigQuery, i risultati vengono archiviati nella memoria locale della macchina, ad esempio la cache del browser. Ciò significa che i risultati non sono più presenti in Controlli di servizio VPC, quindi puoi salvarli in un file CSV o su Google Drive.

In questo scenario, i Controlli di servizio VPC funzionano come previsto poiché il risultato viene esportato da una macchina locale che si trova al di fuori del perimetro di servizio, ma la limitazione generale dei dati di BigQuery viene aggirata.

Per risolvere il problema, limita le autorizzazioni IAM per gli utenti rimuovendo l'autorizzazione bigquery.tables.export. Tieni presente che in questo modo disattivi tutte le opzioni di esportazione.

Problemi di GKE Enterprise

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse GKE Enterprise che si trovano all'interno di un perimetro dei Controlli di servizio VPC.

Per risolvere gli errori relativi all'utilizzo dei Controlli di servizio VPC con Cloud Service Mesh, consulta Risoluzione dei problemi dei Controlli di servizio VPC per Cloud Service Mesh gestito.

La configurazione di GKE Enterprise Config Controller genera una violazione del traffico in uscita

Il processo di configurazione di GKE Enterprise Config Controller dovrebbe non riuscire se non esiste una configurazione in uscita che consenta di raggiungere containerregistry.googleapis.com con il metodo google.containers.registry.read in un progetto al di fuori del perimetro.

Per risolvere questo errore, crea la seguente regola in uscita:

From:
  Identities:ANY_IDENTITY
To:
  Projects =
    NNNNNNNNNNNN
  Service =
  Service name: containerregistry.googleapis.com
  Service methods:
    containers.registry.read

La violazione in uscita scompare dopo che hai aggiunto la regola al perimetro violato.

Problemi di Container Registry

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse di Container Registry che si trovano all'interno di un perimetro dei Controlli di servizio VPC.

Richieste API Container Registry bloccate dai Controlli di servizio VPC nonostante siano consentite in una regola in entrata o in uscita

Se hai consentito l'accesso a Container Registry utilizzando regole in entrata con il campo identity_type impostato su ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, l'accesso è bloccato dai Controlli di servizio VPC.

Per risolvere il problema, aggiorna il campo identity_type in ANY_IDENTITY nella regola in entrata o in uscita.

Errori in uscita da un agente di servizio durante la copia dell'immagine Docker di proprietà di Artifact Registry in un progetto in un perimetro

Quando provi a copiare nel tuo progetto un'immagine di proprietà di Artifact Registry che si trova all'interno di un perimetro Controlli di servizio VPC, potresti riscontrare errori in uscita nei log dall'agente di servizio cloud-cicd-artifact-registry-copier@system.gserviceaccount.com. Questo errore in uscita si verifica solitamente quando il criterio del perimetro è in modalità dry run.

Puoi risolvere il problema creando una regola in uscita che consenta all'agente di servizio cloud-cicd-artifact-registry-copier@system.gserviceaccount.com di accedere al servizio storage.googleapis.com nel progetto menzionato nei log degli errori di Controlli di servizio VPC.

Problemi relativi a Vertex AI

Questa sezione elenca i problemi che potresti riscontrare durante l'utilizzo delle risorse Vertex AI che si trovano all'interno di un perimetro dei Controlli di servizio VPC.

Richieste API blocchi note gestiti dall'utente bloccate dai Controlli di servizio VPC nonostante siano consentite in una regola in entrata o in uscita

Se hai consentito l'accesso all'API User-managed notebooks utilizzando un criterio in entrata e hai impostato identity_type come ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, i Controlli di servizio VPC bloccano l'accesso all'API.