Nesta página, descrevemos como usar o solucionador de problemas do VPC Service Controls para entender e diagnosticar problemas que o VPC Service Controls registra.
Os registros do VPC Service Controls incluem detalhes sobre solicitações de recursos protegidos e o motivo pelo qual o VPC Service Controls negou a solicitação. No entanto, esses detalhes nem sempre são evidentes e você pode levar um tempo considerável para entender os registros. Os administradores de segurança podem usar o solucionador de problemas do VPC Service Controls para diagnosticar negações de um perímetro de serviço.
Também é possível usar o solucionador de problemas para diagnosticar negações de um perímetro de serviço que usa uma configuração de simulação.
O solucionador de problemas ajuda a diagnosticar os seguintes tipos de violações:
| Violation | Descrição |
|---|---|
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
|
Os projetos listados no campo resourceNames do registro
de auditoria não estão no mesmo perímetro de serviço.
|
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER
|
Os projetos que correspondem aos campos callerNetwork
e resourceNames do registro de auditoria não estão no
mesmo perímetro de serviço.
|
NO_MATCHING_ACCESS_LEVEL
|
O endereço IP, o requisito do dispositivo ou a identidade do usuário não corresponde a nenhuma
regra de entrada
ou nível de acesso
atribuído ao perímetro. Por exemplo, o endereço IP correspondente
ao campo Se o endereço IP do autor da chamada estiver ausente ou aparecer como um endereço IP interno, essa violação pode ser causada por um serviço do Google Cloud ainda não integrado ao VPC Service Controls. O serviço do Google Cloud tenta acessar um serviço protegido e falha conforme o esperado. |
SERVICE_NOT_ALLOWED_FROM_VPC
|
A configuração dos serviços acessíveis pela VPC do perímetro de serviço impede o acesso a ele de uma rede dentro do perímetro. |
Antes de começar
Para solucionar problemas de uma violação do VPC Service Controls, verifique se você tem
o papel do IAM de Solucionador de problemas do VPC Service Controls
(roles/accesscontextmanager.vpcScTroubleshooterViewer). Esse papel não
permite modificar perímetros ou níveis de acesso.
Como acessar o solucionador de problemas do VPC Service Controls
O solucionador de problemas está disponível apenas no console do Google Cloud. É possível acessar o solucionador de problemas usando o Explorador de registros ou a página do VPC Service Controls.
Como usar o Explorador de registros
Ao usar o Explorador de registros, é possível realizar a migração diretamente de uma entrada de registro para uma negação de VPC Service Controls para o solucionador de problemas.
Para acessar o solucionador de problemas em uma entrada de registro, faça o seguinte:
Acesse a página do Logs Explorer no console do Cloud.
No Explorador de registros, use o ID exclusivo da negação para acessar a entrada de registro.
Na caixa Resultados da consulta, na linha da negação que você quer resolver, clique em VPC Service Controls e em Resolver problemas de negação.
Como usar a página do VPC Service Controls
Na página VPC Service Controls, é possível solucionar problemas de negação usando o ID exclusivo.
Antes de começar:
- Consiga o ID exclusivo da negação que você quer resolver o problema.
Para acessar o solucionador de problemas na página do VPC Service Controls, faça o seguinte:
No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.
Se solicitado, selecione a organização. Só é possível acessar a página VPC Service Controls no nível da organização.
Na página VPC Service Controls, clique em Resolver problemas.
Na página Solucionador de problemas do VPC Service Controls, na caixa Identificador exclusivo, insira o ID exclusivo da negação que você quer resolver o problema.
Clique em Resolver problemas.