In questa pagina viene descritto come utilizzare lo strumento per la risoluzione dei problemi dei Controlli di servizio VPC per comprendere e diagnosticare i problemi registrati dai Controlli di servizio VPC.
I log dei Controlli di servizio VPC includono dettagli sulle richieste alle risorse protette e il motivo per cui i controlli di servizio VPC hanno rifiutato la richiesta. Tuttavia, questi dettagli non sono sempre evidenti e potresti dover impiegare molto tempo per comprendere i log. Gli amministratori della sicurezza possono utilizzare lo strumento per la risoluzione dei problemi dei controlli di servizio VPC per diagnosticare i rifiuti da un perimetro di servizio.
Puoi utilizzare lo strumento per la risoluzione dei problemi anche per diagnosticare i rifiuti da un perimetro di servizio che utilizza una configurazione di prova.
Questo strumento consente di diagnosticare i seguenti tipi di violazioni:
Violazione | Descrizione |
---|---|
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
|
I progetti elencati nel campo resourceNames del record di controllo non si trovano nello stesso perimetro di servizio.
|
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER
|
I progetti che corrispondono ai campi callerNetwork e resourceNames del record di controllo non si trovano nello stesso perimetro di servizio.
|
NO_MATCHING_ACCESS_LEVEL
|
L'indirizzo IP, il requisito del dispositivo o l'identità dell'utente non corrisponde alle
regole in entrata
o ai livelli di accesso
assegnati al perimetro. Ad esempio, l'indirizzo IP corrispondente al campo Se l'indirizzo IP del chiamante risulta mancante o viene visualizzato come indirizzo IP interno, questa violazione potrebbe essere dovuta a un servizio Google Cloud non integrato con i Controlli di servizio VPC. Il servizio Google Cloud tenta di accedere a un servizio protetto e ha esito negativo come previsto. |
SERVICE_NOT_ALLOWED_FROM_VPC
|
La configurazione dei servizi accessibili da VPC del perimetro di servizio impedisce l'accesso al servizio da una rete all'interno del perimetro di servizio. |
Prima di iniziare
Per risolvere una violazione relativa a Controlli di servizio VPC, assicurati di avere il ruolo IAM Visualizzatore strumento per la risoluzione dei problemi relativi ai Controlli di servizio VPC (roles/accesscontextmanager.vpcScTroubleshooterViewer
). Questo ruolo non consente di modificare i perimetri o i livelli di accesso.
Accesso allo strumento per la risoluzione dei problemi dei Controlli di servizio VPC
Questo strumento è disponibile solo in Google Cloud Console. Puoi accedere allo strumento per la risoluzione dei problemi tramite Esplora log o la pagina Controlli di servizio VPC.
Utilizzo di Esplora log
Utilizzando Esplora log, puoi passare direttamente da una voce di log per un rifiuto dei Controlli di servizio VPC allo strumento per la risoluzione dei problemi.
Per accedere allo strumento per la risoluzione dei problemi da una voce di log:
Vai alla pagina Esplora log in Google Cloud Console.
In Esplora log, utilizza l'ID univoco di denial per accedere alla voce di log.
Nella casella Risultati delle query, nella riga relativa al rifiuto che vuoi risolvere, fai clic su Controlli di servizio VPC, quindi su Risolvi i problemi di rifiuto.
Utilizzo della pagina Controlli di servizio VPC
Dalla pagina Controlli di servizio VPC, puoi risolvere i problemi relativi al rifiuto utilizzando il suo ID univoco.
Prima di iniziare:
- Ottieni l'ID univoco per il rifiuto che vuoi risolvere.
Per accedere allo strumento per la risoluzione dei problemi dalla pagina Controlli di servizio VPC, procedi nel seguente modo:
Nel menu di navigazione di Google Cloud Console, fai clic su Sicurezza e quindi su Controlli di servizio VPC.
Se richiesto, seleziona l'organizzazione. Puoi accedere alla pagina Controlli di servizio VPC solo a livello di organizzazione.
Nella pagina Controlli di servizio VPC, fai clic su Risolvi i problemi.
Nella pagina Risoluzione dei problemi dei controlli di servizio VPC, nella casella Identificatore univoco, inserisci l'ID univoco per il rifiuto che vuoi risolvere.
Fai clic su Risolvi i problemi.