Como diagnosticar problemas usando o solucionador de problemas do VPC Service Controls

Nesta página, descrevemos como usar o solucionador de problemas do VPC Service Controls para entender e diagnosticar problemas que o VPC Service Controls registra.

Os registros do VPC Service Controls incluem detalhes sobre solicitações de recursos protegidos e o motivo pelo qual o VPC Service Controls negou a solicitação. No entanto, esses detalhes nem sempre são evidentes e você pode levar um tempo considerável para entender os registros. Os administradores de segurança podem usar o solucionador de problemas do VPC Service Controls para diagnosticar negações de um perímetro de serviço.

Também é possível usar o solucionador de problemas para diagnosticar negações de um perímetro de serviço que usa uma configuração de simulação.

O solucionador de problemas ajuda a diagnosticar os seguintes tipos de violações:

Violation Descrição
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER Os projetos listados no campo resourceNames do registro de auditoria não estão no mesmo perímetro de serviço.
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER Os projetos que correspondem aos campos callerNetwork e resourceNames do registro de auditoria não estão no mesmo perímetro de serviço.
NO_MATCHING_ACCESS_LEVEL

O endereço IP, o requisito do dispositivo ou a identidade do usuário não corresponde a nenhuma regra de entrada ou nível de acesso atribuído ao perímetro. Por exemplo, o endereço IP correspondente ao campo callerIp do registro de auditoria não corresponde a nenhum intervalo CIDR definido nos níveis de acesso do perímetro de serviço.

Se o endereço IP do autor da chamada estiver ausente ou aparecer como um endereço IP interno, essa violação pode ser causada por um serviço do Google Cloud ainda não integrado ao VPC Service Controls. O serviço do Google Cloud tenta acessar um serviço protegido e falha conforme o esperado.

SERVICE_NOT_ALLOWED_FROM_VPC A configuração dos serviços acessíveis pela VPC do perímetro de serviço impede o acesso a ele de uma rede dentro do perímetro.

Antes de começar

Para solucionar problemas de uma violação do VPC Service Controls, verifique se você tem o papel do IAM de Solucionador de problemas do VPC Service Controls (roles/accesscontextmanager.vpcScTroubleshooterViewer). Esse papel não permite modificar perímetros ou níveis de acesso.

Como acessar o solucionador de problemas do VPC Service Controls

O solucionador de problemas está disponível apenas no console do Google Cloud. É possível acessar o solucionador de problemas usando o Explorador de registros ou a página do VPC Service Controls.

Como usar o Explorador de registros

Ao usar o Explorador de registros, é possível realizar a migração diretamente de uma entrada de registro para uma negação de VPC Service Controls para o solucionador de problemas.

Para acessar o solucionador de problemas em uma entrada de registro, faça o seguinte:

  1. Acesse a página do Logs Explorer no console do Cloud.

    Acessar o Explorador de registros

  2. No Explorador de registros, use o ID exclusivo da negação para acessar a entrada de registro.

  3. Na caixa Resultados da consulta, na linha da negação que você quer resolver, clique em VPC Service Controls e em Resolver problemas de negação.

Como usar a página do VPC Service Controls

Na página VPC Service Controls, é possível solucionar problemas de negação usando o ID exclusivo.

Antes de começar:

Para acessar o solucionador de problemas na página do VPC Service Controls, faça o seguinte:

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar o VPC Service Controls

  2. Se solicitado, selecione a organização. Só é possível acessar a página VPC Service Controls no nível da organização.

  3. Na página VPC Service Controls, clique em Resolver problemas.

  4. Na página Solucionador de problemas do VPC Service Controls, na caixa Identificador exclusivo, insira o ID exclusivo da negação que você quer resolver o problema.

  5. Clique em Resolver problemas.

A seguir