Usa el solucionador de problemas de los Controles del servicio de VPC

Las entradas de registro de los Controles del servicio de VPC a menudo contienen datos sobre las solicitudes rechazadas a los servicios protegidos, como los recursos que se solicitan y el motivo por el que se denegó el acceso. Sin embargo, estos detalles no siempre se ven con facilidad, y es posible que los usuarios deban dedicarle mucho tiempo a la comprensión de los registros. El solucionador de problemas de los Controles del servicio de VPC es una herramienta que permite a los administradores de seguridad comprender problemas que causan los Controles del servicio de VPC y solucionarlos. En la actualidad, el solucionador de problemas de los Controles del servicio de VPC ayuda a diagnosticar tres tipos de incumplimientos:

Incumplimientos

RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER Los proyectos enumerados en el campo resourceNames del registro de auditoría no están en el mismo perímetro de servicio.

NETWORK_NOT_IN_SAME_SERVICE_PERIMETER Los proyectos que corresponden a los campos callerNetwork y resourceNames del registro de auditoría no están en el mismo perímetro de servicio.

Incumplimientos
`RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER`	Los proyectos enumerados en el campo `resourceNames` del registro de auditoría no están en el mismo perímetro de servicio.
`NETWORK_NOT_IN_SAME_SERVICE_PERIMETER`	Los proyectos que corresponden a los campos `callerNetwork` y `resourceNames` del registro de auditoría no están en el mismo perímetro de servicio.
`NO_MATCHING_ACCESS_LEVEL`	Por lo general, la dirección IP correspondiente al campo `callerIp` del registro de auditoría no coincide con los rangos CIDR definidos en los niveles de acceso del perímetro de servicio. Si falta la dirección IP del emisor o parece ser una dirección IP privada, este incumplimiento podría deberse a que un servicio de Google Cloud que aún no está integrado con los Controles del servicio de VPC intenta acceder a un servicio protegido y, como se espera, falla.

NO_MATCHING_ACCESS_LEVEL

Por lo general, la dirección IP correspondiente al campo callerIp del registro de auditoría no coincide con los rangos CIDR definidos en los niveles de acceso del perímetro de servicio.

Si falta la dirección IP del emisor o parece ser una dirección IP privada, este incumplimiento podría deberse a que un servicio de Google Cloud que aún no está integrado con los Controles del servicio de VPC intenta acceder a un servicio protegido y, como se espera, falla.

Limitaciones de la versión Beta

Existen las siguientes limitaciones para la versión Beta del solucionador de problemas de los Controles del servicio de VPC.

Si bien 3 de los errores más comunes de los Controles del servicio de VPC son compatibles con el solucionador de problemas de los Controles del servicio de VPC, no todos están incluidos en la versión Beta. En la actualidad, no se puede revisar el siguiente error mediante el solucionador de problemas de los Controles del servicio de VPC:
- SERVICE_NOT_ALLOWED_FROM_VPC
No todos los errores relacionados con los Controles del servicio de VPC reciben un ID único. Si un error no tiene un ID único, no se puede revisar con el solucionador de problemas de los Controles del servicio de VPC.

Control de acceso

Para permitir que un usuario solucione un incumplimiento de los Controles del servicio de VPC, puedes asignar la función VPC Service Controls Troubleshooter View. Esta función no permite que los usuarios realicen cambios en los perímetros o en los niveles de acceso.

Accede al solucionador de problemas de los Controles del servicio de VPC

El solucionador de problemas de los Controles del servicio de VPC solo está disponible en Google Cloud Console. Existen dos formas de acceder al solucionador de problemas de los Controles del servicio de VPC.

Usa el visor de registros (vista previa)

Mediante el Visor de registros (vista previa), puedes pasar directamente de una entrada de registro de un rechazo de Controles del servicio de VPC al solucionador de problemas de los Controles del servicio de VPC.

Para acceder al solucionador de problemas de los Controles del servicio de VPC desde una entrada de registro, haz lo siguiente:

En el visor de registros (vista previa), usa el ID único del rechazo para acceder a la entrada de registro.
En el cuadro Resultados de la consulta, en la fila del rechazo que quieres solucionar, haz clic en Controles del servicio de VPC y, luego, en Rechazo de la solución de problemas.

Usa la página Controles del servicio de VPC

En la página Controles del servicio de VPC, puedes solucionar un rechazo mediante una ruta de acceso del proyecto y un ID único.

Antes de comenzar:

Obtén el ID único para el rechazo que deseas solucionar.

Para acceder al solucionador de problemas de los Controles del servicio de VPC desde la página Controles del servicio de VPC, haz lo siguiente:

En el menú de navegación de Google Cloud Console, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

Ir a la página Controles del servicio de VPC
Si se te solicita, selecciona tu organización. Solo se puede acceder a la página Controles del servicio de VPC a nivel de organización.
En la parte superior de la página Controles del servicio de VPC, haz clic en Solucionar problemas.
En la página Solucionador de problemas de los Controles del servicio de VPC, en el cuadro Identificador único, ingresa el ID único del rechazo que deseas solucionar.
En el cuadro Ruta de acceso del recurso del proyecto, haz clic en Explorar y, luego, selecciona el proyecto que causó el rechazo.
Haz clic en Solucionar problemas.