Diagnostica problemas mediante el solucionador de problemas de los Controles del servicio de VPC

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describe cómo puedes usar el solucionador de problemas de los Controles del servicio de VPC para comprender y diagnosticar problemas que registran los Controles del servicio de VPC.

Los registros de los Controles del servicio de VPC incluyen detalles sobre las solicitudes a recursos protegidos y el motivo por el que estos controles rechazaron la solicitud. Sin embargo, estos detalles no siempre se ven con facilidad, y es posible que debas dedicar mucho tiempo a comprender los registros. Los administradores de seguridad pueden usar el solucionador de problemas de los Controles del servicio de VPC para diagnosticar denegaciones de un perímetro de servicio.

También puedes usar el solucionador de problemas para diagnosticar denegaciones de un perímetro de servicio que usa una configuración de prueba de validación.

El solucionador de problemas ayuda a diagnosticar los siguientes tipos de infracciones:

Incumplimiento Descripción
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER Los proyectos enumerados en el campo resourceNames del registro de auditoría no están en el mismo perímetro de servicio.
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER Los proyectos que corresponden a los campos callerNetwork y resourceNames del registro de auditoría no están en el mismo perímetro de servicio.
NO_MATCHING_ACCESS_LEVEL

La dirección IP, los requisitos del dispositivo o la identidad de usuario no coinciden con las reglas de entrada o los niveles de acceso asignados al perímetro. Por ejemplo, la dirección IP correspondiente al campo callerIp del registro de auditoría no coincide con los rangos CIDR definidos en los niveles de acceso del perímetro de servicio.

Si falta la dirección IP del emisor o aparece como una dirección IP interna, este incumplimiento podría deberse a un servicio de Google Cloud que aún no está integrado con los Controles del servicio de VPC. El servicio de Google Cloud intenta acceder a un servicio protegido y falla como se espera.

SERVICE_NOT_ALLOWED_FROM_VPC La configuración de servicios accesibles de VPC del perímetro de servicio evita el acceso al servicio desde una red dentro del perímetro de servicio.

Antes de comenzar

Para solucionar problemas de incumplimiento de los Controles del servicio de VPC, asegúrate de tener el rol de IAM de visualizador de solucionador de problemas de los Controles del servicio de VPC (roles/accesscontextmanager.vpcScTroubleshooterViewer). Este rol no te permite modificar perímetros ni niveles de acceso.

Accede al solucionador de problemas de los Controles del servicio de VPC

El solucionador de problemas solo está disponible en Google Cloud Console. Puedes acceder al solucionador de problemas con el Explorador de registros o la página Controles del servicio de VPC.

Usa el Explorador de registros

Mediante el Explorador de registros, puedes pasar directamente de una entrada de registro de una denegación de Controles del servicio de VPC al solucionador de problemas.

Para acceder al solucionador de problemas desde una entrada de registro, haz lo siguiente:

  1. Ve al Explorador de registros en la consola de Google Cloud.

    Ir al Explorador de registros

  2. En el Explorador de registros, usa el ID único del rechazo para acceder a la entrada de registro.

  3. En el cuadro Resultados de la consulta, en la fila del rechazo que quieres solucionar, haz clic en Controles del servicio de VPC y, luego, en Rechazo de la solución de problemas.

Usa la página Controles del servicio de VPC

En la página Controles del servicio de VPC, puedes solucionar un rechazo mediante su ID único.

Antes de comenzar:

Para acceder al solucionador de problemas en la página Controles del servicio de VPC, haz lo siguiente:

  1. En el menú de navegación de Google Cloud Console, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. Si se te solicita, selecciona tu organización. Solo puedes acceder a la página Controles del servicio de VPC a nivel de organización.

  3. En la página Controles del servicio de VPC, haz clic en Solucionar problemas.

  4. En la página Solucionador de problemas de los Controles del servicio de VPC, en el cuadro Identificador único, ingresa el ID único del rechazo que deseas solucionar.

  5. Haz clic en Solucionar problemas.

¿Qué sigue?