このページでは、VPC Service Controls のトラブルシューティングを使用して、VPC Service Controls がログに記録する問題を理解して診断する方法について説明します。
VPC Service Controls のログには、保護されたリソースへのリクエストの詳細と、VPC Service Controls がリクエストを拒否された理由が含まれます。ただし、これらの詳細は容易に把握できるものではなく、ログの理解に多くの時間を費やす可能性があります。VPC Service Controls のトラブルシューティングを使用すると、サービス境界からの拒否を診断できます。違反の理由については、VPC Service Controls によってブロックされたリクエストのデバッグをご覧ください。
トラブルシューティングを使用すると、ドライラン構成を使用するサービス境界からの拒否も診断できます。
始める前に
VPC Service Controls の違反のトラブルシューティングを行うには、組織レベルで IAM ロールの VPC Service Controls トラブルシューティング閲覧者(roles/accesscontextmanager.vpcScTroubleshooterViewer)があることを確認します。このロールでは、境界やアクセスレベルを変更することはできません。
VPC Service Controls のトラブルシューティングへのアクセス
トラブルシューティングは Google Cloud コンソールでのみ利用できます。ログ エクスプローラまたは VPC Service Controls ページを使用して、トラブルシューティングにアクセスできます。
ログ エクスプローラの使用
ログ エクスプローラを使用すると、VPC Service Controls の拒否のログエントリからトラブルシューティングに直接移動できます。
ログエントリからトラブルシューティングにアクセスする手順は次のとおりです。
Google Cloud コンソールの [ログ エクスプローラ] ページに移動します。
ログ エクスプローラで、拒否の一意の ID を使用してログエントリにアクセスします。
[クエリ結果] ボックスで、トラブルシューティングを行う行で、[VPC Service Controls] をクリックし、[拒否のトラブルシューティング] をクリックします。
VPC Service Controls ページの使用
[VPC Service Controls] ページで、一意の ID を使用して拒否のトラブルシューティングを行うことができます。
始める前に、トラブルシューティングを行う拒否の一意の ID を取得します。
[VPC Service Controls] ページからトラブルシューティングにアクセスするには、次の操作を行います。
Google Cloud コンソールのナビゲーション メニューで [セキュリティ]、[VPC Service Controls] の順にクリックします。
プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページには組織レベルでのみアクセスできます。
[VPC Service Controls] ページで [トラブルシューティング] をクリックします。
[VPC Service Controls のトラブルシューティング] ページの [一意の識別子] ボックスに、トラブルシューティングする拒否の一意の ID を入力します。
[トラブルシューティング] をクリックします。
次のステップ
- VPC Service Controls の監査ログについて
- VPC Service Controls の一意の ID がサービス境界に関連する問題のトラブルシューティングにどのように役立つかについて確認する。
- VPC Service Controls 違反アナライザを使用してアクセス拒否イベントを診断する(プレビュー)。