VPC Service Controls トラブルシューティングの使用

VPC Service Controls のログエントリには、リクエストされたリソースやアクセスが拒否された理由など、保護されたサービスへの拒否リクエストに関するデータが含まれていることがよくあります。ただし、これらの詳細は容易に把握できるものではなく、ログを理解するために多くの時間を費やす必要がある場合があります。VPC Service Controls のトラブルシューティングのツールを使用すると、セキュリティ管理者は VPC Service Controls に起因する拒否を適切に把握し、トラブルシューティングを行うことができます。現在、VPC Service Controls のトラブルシューティングでは、次の 3 種類の違反を診断できます。

違反
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 監査レコードの resourceNames フィールドにリストされているプロジェクトは、同じサービス境界内に存在しません。
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER 監査レコードの callerNetwork フィールドと resourceNames フィールドに対応するプロジェクトは、同じサービス境界内に存在しません。
NO_MATCHING_ACCESS_LEVEL

通常、監査レコードの callerIp フィールドに対応する IP アドレスは、サービス境界のアクセスレベルで定義された CIDR 範囲と一致しません。

呼び出し元の IP アドレスがないか、プライベート IP アドレスのように見える場合、VPC Service Controls にまだ統合されていない Google Cloud サービスが、保護されたサービスにアクセスを試みると、この違反により、想定どおり失敗します。

ベータ版の制限事項

VPC Service Controls のトラブルシューティングのベータ版には、次の制限事項があります。

  • VPC Service Controls の最も一般的なエラーのうち 3 つは VPC Service Controls のトラブルシューティングでサポートされていますが、すべてのエラーがベータ版の対象となるわけではありません。現在、次のエラーは、VPC Service Controls のトラブルシューティングで確認できません。

    • SERVICE_NOT_ALLOWED_FROM_VPC
  • すべての VPC Service Controls 関連のエラーに一意の ID が与えられるわけではありません。一意の ID がないエラーは、VPC Service Controls のトラブルシューティングで確認できません。

アクセス制御

ユーザーに VPC Service Controls 違反のトラブルシューティングを許可するには、VPC Service Controls Troubleshooter View ロールを割り当てます。このロールで、ユーザーは境界やアクセスレベルの変更はできません。

VPC Service Controls のトラブルシューティングへのアクセス

VPC Service Controls のトラブルシューティングは Google Cloud Console でのみ使用できます。VPC Service Controls のトラブルシューティングにアクセスする方法は 2 つあります。

ログビューア(プレビュー)の使用

ログビューア(プレビュー)を使用して、VPC Service Controls の拒否のログエントリから VPC Service Controls のトラブルシューティングに直接移動できます。

ログエントリから VPC Service Controls のトラブルシューティングにアクセスするには、次の操作を行います。

  1. ログビューア(プレビュー)で、拒否の一意の ID を使用してログエントリにアクセスします。

  2. [クエリ結果] ボックスで、トラブルシューティングを行う行で、[VPC Service Controls] をクリックし、[拒否のトラブルシューティング] をクリックします。

VPC Service Controls ページの使用

[VPC Service Controls] ページで、プロジェクト パスと一意の ID を使用して拒否のトラブルシューティングを行えます。

始める前に、次のことを行います。

[VPC Service Controls] ページから VPC Service Controls Troubleshooter にアクセスするには、次の操作を行います。

  1. Google Cloud Console のナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

    [VPC Service Controls] ページに移動

  2. プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページにアクセスできるのは、組織レベルでのみです。

  3. [VPC Service Controls] ページの上部にある [トラブルシューティング] をクリックします。

  4. [VPC Service Controls のトラブルシューティング] ページの [一意の識別子] ボックスに、トラブルシューティングする拒否の一意の ID を入力します。

  5. [プロジェクト リソースパス] ボックスで [参照] をクリックし、拒否の原因となったプロジェクトを選択します。

  6. [トラブルシューティング] をクリックします。