VPC Service Controls のトラブルシューティングによる問題の診断

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このページでは、VPC Service Controls のトラブルシューティングを使用して、VPC Service Controls がログに記録する問題を理解して診断する方法について説明します。

VPC Service Controls のログには、保護されたリソースへのリクエストの詳細と、VPC Service Controls がリクエストを拒否された理由が含まれます。ただし、これらの詳細は容易に把握できるものではなく、ログの理解に多くの時間を費やす可能性があります。セキュリティ管理者は、VPC Service Controls のトラブルシューティングを使用して、サービス境界での拒否を診断できます。

トラブルシューティングを使用すると、ドライラン構成を使用するサービス境界からの拒否も診断できます。

トラブルシューティングでは、次の種類の違反を診断できます。

違反 説明
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 監査レコードの resourceNames フィールドにリストされているプロジェクトは、同じサービス境界内に存在しません。
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER 監査レコードの callerNetwork フィールドと resourceNames フィールドに対応するプロジェクトは、同じサービス境界内に存在しません。
NO_MATCHING_ACCESS_LEVEL

IP アドレス、デバイス要件、またはユーザー ID が、境界に割り当てられた上り(内向き)ルールまたはアクセスレベルと一致しません。たとえば、監査レコードの callerIp フィールドに対応する IP アドレスが、サービス境界のアクセスレベルで定義された CIDR 範囲と一致しません。

呼び出し元の IP アドレスがないか、内部 IP アドレスのように見える場合、VPC Service Controls に統合されていない Google Cloud サービスが原因で違反が発生している可能性があります。Google Cloud サービスが、保護されたサービスにアクセスしようとすると、想定どおりに失敗します。

SERVICE_NOT_ALLOWED_FROM_VPC サービス境界の VPC のアクセス可能なサービス構成により、サービス境界内のネットワークからサービスにアクセスできないようにします。

始める前に

VPC Service Controls の違反のトラブルシューティングを行うには、VPC Service Controls のトラブルシューティングの閲覧者 IAM ロール(roles/accesscontextmanager.vpcScTroubleshooterViewer)があることを確認します。このロールでは、境界やアクセスレベルを変更することはできません。

VPC Service Controls のトラブルシューティングへのアクセス

トラブルシューティングは Google Cloud Console でのみ利用できます。ログ エクスプローラまたは VPC Service Controls ページを使用して、トラブルシューティングにアクセスできます。

ログ エクスプローラの使用

ログ エクスプローラを使用すると、VPC Service Controls の拒否のログエントリからトラブルシューティングに直接移動できます。

ログエントリからトラブルシューティングにアクセスする手順は次のとおりです。

  1. Google Cloud コンソールの [ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

  2. ログ エクスプローラで、拒否の一意の ID を使用してログエントリにアクセスします。

  3. [クエリ結果] ボックスで、トラブルシューティングを行う行で、[VPC Service Controls] をクリックし、[拒否のトラブルシューティング] をクリックします。

VPC Service Controls ページの使用

[VPC Service Controls] ページで、一意の ID を使用して拒否のトラブルシューティングを行うことができます。

始める前に、次のことを行います。

[VPC Service Controls] ページからトラブルシューティングにアクセスするには、次の操作を行います。

  1. Google Cloud コンソールのナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

    [VPC Service Controls] に移動

  2. プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページには組織レベルでのみアクセスできます。

  3. [VPC Service Controls] ページで [トラブルシューティング] をクリックします。

  4. [VPC Service Controls のトラブルシューティング] ページの [一意の識別子] ボックスに、トラブルシューティングする拒否の一意の ID を入力します。

  5. [トラブルシューティング] をクリックします。

次のステップ