VPC Service Controls 日志条目通常包含有关对受保护服务的请求被拒的数据,例如请求的资源以及访问遭拒的原因。但是,这些详细信息有时并不明显,并且可能需要用户花大量时间了解日志。VPC Service Controls 问题排查工具可帮助安全管理员更好地了解由 VPC Service Controls 引起的被拒并对其进行问题排查。目前,VPC Service Controls 问题排查工具可帮助诊断三种类型的违规:
| 违规 | |
|---|---|
RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER
|
审核记录的 resourceNames 字段中列出的项目不在同一服务边界内。 |
NETWORK_NOT_IN_SAME_SERVICE_PERIMETER
|
与审核记录的 callerNetwork 和 resourceNames 字段对应的项目不在同一服务边界内。 |
NO_MATCHING_ACCESS_LEVEL
|
通常,与审核记录的 如果调用方 IP 地址缺失或者看起来是专用 IP 地址,则此违规可能是尚未与 VPC Service Controls 集成的 Google Cloud 服务尝试访问受保护的服务并失败。 |
Beta 版的限制
VPC Service Controls 问题排查工具 Beta 版存在以下限制。
虽然 VPC Service Controls 问题排查工具支持 3 个最常见的 VPC Service Controls 错误,但 Beta 版无法涵盖所有错误。目前无法使用 VPC Service Controls 问题排查工具检查以下错误:
SERVICE_NOT_ALLOWED_FROM_VPC
并非所有与 VPC Service Controls 相关的错误都拥有唯一 ID。如果错误没有唯一 ID,则无法使用 VPC Service Controls 问题排查工具进行检查。
访问控制
要允许用户排查 VPC Service Controls 违规,您可以分配 VPC Service Controls Troubleshooter View 角色。此角色不允许用户更改边界或访问权限级别。
访问 VPC Service Controls 问题排查工具
VPC Service Controls 问题排查工具只能在 Google Cloud Console 中使用。访问 VPC Service Controls 问题排查工具的方法有两种。
使用日志查看器(预览版)
使用日志查看器(预览版),您可以直接从 VPC Service Controls 被拒事件的日志条目转到 VPC Service Controls 问题排查工具。
要从日志条目访问 VPC Service Controls 问题排查工具,请执行以下操作:
在日志查看器(预览版)中,使用被拒事件的唯一 ID 来访问日志条目。
在查询结果框中,在要排查的被拒问题所在的行中,点击 VPC Service Controls,然后点击排查被拒问题。
使用 VPC Service Controls 页面
在 VPC Service Controls 页面中,您可以使用项目路径和唯一 ID 排查被拒问题。
准备工作:
- 为您要排查的被拒问题获取唯一 ID。
要从 VPC Service Controls 页面访问 VPC Service Controls 问题排查工具,请执行以下操作:
在 Google Cloud Console 导航菜单中,点击安全,然后点击 VPC Service Controls。
如果收到提示,请选择您的组织。 只能在组织级层访问 VPC Service Controls 页面。
在 VPC Service Controls 页面顶部,点击问题排查。
在 VPC Service Controls 问题排查工具页面的唯一标识符框中,输入您要排查的被拒问题的唯一 ID。
在项目资源路径框中,点击浏览,然后选择导致被拒的项目。
点击排查问题。