Diagnostica dei problemi mediante lo strumento per la risoluzione dei problemi dei Controlli di servizio VPC

In questa pagina viene descritto come utilizzare lo strumento per la risoluzione dei problemi dei Controlli di servizio VPC per comprendere e diagnosticare i problemi registrati dai Controlli di servizio VPC.

I log dei Controlli di servizio VPC includono dettagli sulle richieste alle risorse protette e il motivo per cui i controlli di servizio VPC hanno rifiutato la richiesta. Tuttavia, questi dettagli non sono sempre evidenti e potresti dover impiegare molto tempo per comprendere i log. Gli amministratori della sicurezza possono utilizzare lo strumento per la risoluzione dei problemi dei controlli di servizio VPC per diagnosticare i rifiuti da un perimetro di servizio.

Puoi utilizzare lo strumento per la risoluzione dei problemi anche per diagnosticare i rifiuti da un perimetro di servizio che utilizza una configurazione di prova.

Questo strumento consente di diagnosticare i seguenti tipi di violazioni:

Violazione Descrizione
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER I progetti elencati nel campo resourceNames del record di controllo non si trovano nello stesso perimetro di servizio.
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER I progetti che corrispondono ai campi callerNetwork e resourceNames del record di controllo non si trovano nello stesso perimetro di servizio.
NO_MATCHING_ACCESS_LEVEL

L'indirizzo IP, il requisito del dispositivo o l'identità dell'utente non corrisponde alle regole in entrata o ai livelli di accesso assegnati al perimetro. Ad esempio, l'indirizzo IP corrispondente al campo callerIp del record di controllo non corrisponde a nessun intervallo CIDR definito nei livelli di accesso per il perimetro di servizio.

Se l'indirizzo IP del chiamante risulta mancante o viene visualizzato come indirizzo IP interno, questa violazione potrebbe essere dovuta a un servizio Google Cloud non integrato con i Controlli di servizio VPC. Il servizio Google Cloud tenta di accedere a un servizio protetto e ha esito negativo come previsto.

SERVICE_NOT_ALLOWED_FROM_VPC La configurazione dei servizi accessibili da VPC del perimetro di servizio impedisce l'accesso al servizio da una rete all'interno del perimetro di servizio.

Prima di iniziare

Per risolvere una violazione relativa a Controlli di servizio VPC, assicurati di avere il ruolo IAM Visualizzatore strumento per la risoluzione dei problemi relativi ai Controlli di servizio VPC (roles/accesscontextmanager.vpcScTroubleshooterViewer). Questo ruolo non consente di modificare i perimetri o i livelli di accesso.

Accesso allo strumento per la risoluzione dei problemi dei Controlli di servizio VPC

Questo strumento è disponibile solo in Google Cloud Console. Puoi accedere allo strumento per la risoluzione dei problemi tramite Esplora log o la pagina Controlli di servizio VPC.

Utilizzo di Esplora log

Utilizzando Esplora log, puoi passare direttamente da una voce di log per un rifiuto dei Controlli di servizio VPC allo strumento per la risoluzione dei problemi.

Per accedere allo strumento per la risoluzione dei problemi da una voce di log:

  1. Vai alla pagina Esplora log in Google Cloud Console.

    Vai a Esplora log

  2. In Esplora log, utilizza l'ID univoco di denial per accedere alla voce di log.

  3. Nella casella Risultati delle query, nella riga relativa al rifiuto che vuoi risolvere, fai clic su Controlli di servizio VPC, quindi su Risolvi i problemi di rifiuto.

Utilizzo della pagina Controlli di servizio VPC

Dalla pagina Controlli di servizio VPC, puoi risolvere i problemi relativi al rifiuto utilizzando il suo ID univoco.

Prima di iniziare:

Per accedere allo strumento per la risoluzione dei problemi dalla pagina Controlli di servizio VPC, procedi nel seguente modo:

  1. Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza e quindi su Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Se richiesto, seleziona l'organizzazione. Puoi accedere alla pagina Controlli di servizio VPC solo a livello di organizzazione.

  3. Nella pagina Controlli di servizio VPC, fai clic su Risolvi i problemi.

  4. Nella pagina Risoluzione dei problemi dei controlli di servizio VPC, nella casella Identificatore univoco, inserisci l'ID univoco per il rifiuto che vuoi risolvere.

  5. Fai clic su Risolvi i problemi.

Passaggi successivi