Como usar o Solucionador de problemas do VPC Service Controls

As entradas de registro do VPC Service Controls geralmente contêm dados sobre solicitações negadas para serviços protegidos, como os recursos solicitados e o motivo pelo qual o acesso foi negado. No entanto, esses detalhes nem sempre são evidentes e podem exigir que os usuários levem um tempo considerável para entender os registros. O Solucionador de problemas do VPC Service Controls é uma ferramenta que permite que administradores de segurança entendam e resolvam melhor uma negação causada pelo VPC Service Controls. No momento, o solucionador de problemas do VPC Service Controls ajuda a diagnosticar três tipos de violações:

Violações
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER Os projetos listados no campo resourceNames do registro de auditoria não estão no mesmo perímetro de serviço.
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER Os projetos que correspondem aos campos callerNetwork e resourceNames do registro de auditoria não estão no mesmo perímetro de serviço.
NO_MATCHING_ACCESS_LEVEL

Normalmente, o endereço IP correspondente ao campo callerIp do registro de auditoria não corresponde a nenhum intervalo CIDR definido nos níveis de acesso do perímetro de serviço.

Se o endereço IP do autor da chamada estiver ausente ou parecer ser um endereço IP particular, essa violação poderá ser um serviço do Google Cloud que ainda não está integrado ao VPC Service Controls tentando acessar um serviço protegido e falhando, conforme esperado.

Limitações da versão Beta

A versão Beta do Solucionador de problemas do VPC Service Controls tem as seguintes limitações.

  • Embora três dos erros mais comuns do VPC Service Controls sejam compatíveis com o solucionador de problemas do VPC Service Controls, nem todos os erros são cobertos pela versão Beta. No momento, não é possível analisar o erro abaixo usando o solucionador de problemas do VPC Service Controls:

    • SERVICE_NOT_ALLOWED_FROM_VPC
  • Nem todos os erros relacionados ao VPC Service Controls recebem um ID exclusivo. Se um erro não tiver um ID exclusivo, ele não poderá ser revisado com o Solucionador de problemas do VPC Service Controls.

Controle de acesso

Para permitir que um usuário resolva uma violação do VPC Service Controls, atribua o papel VPC Service Controls Troubleshooter View. Esse papel não permite que os usuários façam alterações em perímetros ou níveis de acesso.

Como acessar o solucionador de problemas do VPC Service Controls

O solucionador de problemas do VPC Service Controls está disponível apenas no Console do Google Cloud. Há duas maneiras de acessar o Solucionador de problemas do VPC Service Controls.

Como usar o Visualizador de registros (Prévia)

Com o Visualizador de registros (Prévia), é possível mover diretamente uma entrada de registro de uma negação do VPC Service Controls para o solucionador de problemas do VPC Service Controls.

Para acessar o solucionador de problemas do VPC Service Controls a partir de uma entrada de registro:

  1. No Visualizador de registros (Prévia), use o ID exclusivo da negação para acessar a entrada de registro.

  2. Na caixa Resultados da consulta, na linha da negação que você quer resolver, clique em VPC Service Controls e em Resolver problemas de negação.

Como usar a página do VPC Service Controls

Na página do VPC Service Controls, é possível solucionar problemas de negação usando um caminho de projeto e um ID exclusivo.

Antes de começar:

Para acessar o solucionador de problemas do VPC Service Controls na página VPC Service Controls:

  1. No menu de navegação do Console do Google Cloud, clique em Segurança e em VPC Service Controls.

    Acessar a página "VPC Service Controls"

  2. Se solicitado, selecione a Organização. A página VPC Service Controls só pode ser acessada no nível da organização.

  3. Na parte superior da página do VPC Service Controls, clique em Resolver problemas.

  4. Na página Solucionador de problemas do VPC Service Controls, na caixa Identificador exclusivo, insira o ID exclusivo da negação que você quer resolver.

  5. Na caixa Caminho do recurso do projeto, clique em Procurar e selecione o projeto que causou a negação.

  6. Clique em Resolver problemas.