Questa pagina è stata tradotta dall'API Cloud Translation.

Diagnostica un evento di rifiuto di accesso utilizzando l'analizzatore delle violazioni di VPC Service Controls

Questa pagina descrive come utilizzare lo strumento di analisi delle violazioni di VPC Service Controls per comprendere e diagnosticare i rifiuti di accesso dai perimetri di servizio della tua organizzazione.

Controlli di servizio VPC genera un token per la risoluzione dei problemi quando rifiuta una richiesta di accesso. L'analizzatore delle violazioni ti consente di diagnosticare il rifiuto di accesso utilizzando questo token per la risoluzione dei problemi. Puoi trovare questo token per la risoluzione dei problemi negli audit log di Cloud. I Controlli di servizio VPC registrano tutte le informazioni su un evento di rifiuto di accesso negli audit log di Cloud, incluso il token per la risoluzione dei problemi.

Puoi anche utilizzare l'analizzatore delle violazioni per diagnosticare i rifiuti di accesso dalla configurazione della simulazione di un perimetro di servizio.

Per informazioni sulla diagnosi dei rifiuti di accesso mediante lo strumento per la risoluzione dei problemi Controlli di servizio VPC, consulta Diagnostica dei problemi mediante lo strumento per la risoluzione dei problemi Controlli di servizio VPC.

Prima di iniziare

Enable the Policy Troubleshooter API.
Enable the API
Per comprendere i criteri dei dispositivi in un livello di accesso e recuperare i dettagli del contesto del dispositivo, assicurati di disporre delle autorizzazioni necessarie in Google Workspace per visualizzare i dettagli del dispositivo. Senza queste autorizzazioni, se risolvi un evento di rifiuto che coinvolge un livello di accesso con condizioni basate su attributi del dispositivo, il risultato della risoluzione dei problemi può essere diverso.

Per ottenere queste autorizzazioni, assicurati di disporre di uno dei seguenti ruoli Google Workspace:
- Ruolo Super amministratore, Amministratore di servizi o Amministratore mobile.
- Un ruolo amministrativo personalizzato che contiene il privilegio Gestisci dispositivi e impostazioni. Puoi trovare questo privilegio in Servizi > Gestione dei dispositivi mobili.
Per ulteriori informazioni sull'assegnazione dei ruoli, vedi Assegnare ruoli di amministratore specifici.

Puoi utilizzare l'analizzatore delle violazioni senza queste autorizzazioni in Google Workspace. Tuttavia, il risultato della risoluzione dei problemi potrebbe essere diverso, come specificato in precedenza.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare lo strumento di analisi delle violazioni, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Per diagnosticare un evento di rifiuto di accesso utilizzando l'analizzatore delle violazioni: Access Context Manager Reader (roles/accesscontextmanager.policyReader) nel criterio di accesso a livello di organizzazione
Per recuperare il token per la risoluzione dei problemi dagli audit log di Cloud: Visualizzatore log (roles/logging.viewer) nei progetti che dispongono di audit log di VPC Service Controls

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare lo strumento di analisi delle violazioni. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per utilizzare l'analizzatore delle violazioni sono necessarie le seguenti autorizzazioni:

Per diagnosticare un evento di rifiuto di accesso utilizzando l'analizzatore delle violazioni:
- accesscontextmanager.accessLevels.list nel criterio di accesso a livello di organizzazione
- accesscontextmanager.policies.get nel criterio di accesso a livello di organizzazione
- accesscontextmanager.servicePerimeters.list nel criterio di accesso a livello di organizzazione

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Risolvere i problemi relativi a un evento di rifiuto di accesso

Quando Controlli di servizio VPC nega una richiesta di accesso, genera un ID univoco e registra un token per la risoluzione dei problemi criptato negli audit log di Cloud. Quando utilizzi Google Cloud CLI, Controlli di servizio VPC restituisce l'ID univoco di un evento di rifiuto di accesso nell'errore. Dopo l'evento di rifiuto dell'accesso, puoi cercare e trovare il token per la risoluzione dei problemi in Cloud Audit Logs utilizzando l'ID univoco.

Devi disporre del token per la risoluzione dei problemi per diagnosticare un evento di rifiuto di accesso utilizzando lo strumento di analisi delle violazioni.

Ottenere il token per la risoluzione dei problemi

Nella console Google Cloud, vai alla pagina Esplora log.

Vai a Esplora log
Nella pagina Esplora log, seleziona l'ambito del progetto a cui appartiene l'evento di rifiuto di accesso.
Utilizza i filtri dei log per trovare la voce di log dell'evento di rifiuto dell'accesso.

Puoi anche utilizzare l'ID univoco per visualizzare la voce di log. Per cercare e visualizzare i log di controllo utilizzando l'ID univoco, inserisci la seguente query nel campo dell'editor di query:
```
log_id("cloudaudit.googleapis.com/policy")
severity=ERROR
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID"
```
Sostituisci UNIQUE_ID con l'ID univoco dell'evento di rifiuto dell'accesso.
Fai clic su Esegui query. Questa query mostra gli audit log di VPC Service Controls per l'evento di rifiuto di accesso.
Per espandere i log di controllo, fai clic sulla freccia di espansione nel riquadro Risultati delle query.
Espandi la sezione protoPayload > metadata nella voce di log.
Copia il valore vpcServiceControlsTroubleshootToken dalla voce di log.

Risolvere i problemi relativi all'utilizzo del token

Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

Vai a Controlli di servizio VPC

Se ti viene chiesto, seleziona la tua organizzazione. Puoi accedere alla pagina Controlli di servizio VPC solo a livello di organizzazione.
Nella pagina Controlli di servizio VPC, fai clic su Risolvi i problemi.
Nella pagina Risolvi la violazione, inserisci il token per la risoluzione dei problemi dell'evento di rifiuto dell'accesso nel campo Token per la risoluzione dei problemi (o ID univoco).

Nota: se vuoi utilizzare lo strumento per la risoluzione dei problemi per diagnosticare l'evento di rifiuto di accesso, inserisci l'ID univoco dell'evento nel campo Token (o ID univoco) per la risoluzione dei problemi.
Fai clic su Continua.

L'analizzatore delle violazioni valuta i log di controllo dell'evento di rifiuto di accesso e mostra il risultato della risoluzione dei problemi.

Interpreta il risultato della risoluzione dei problemi

Prima di leggere il risultato della risoluzione dei problemi di un evento di rifiuto di accesso, assicurati di fare riferimento alle seguenti considerazioni.

Oscuramento delle informazioni sensibili

Per proteggere i dati sensibili, l'analizzatore delle violazioni oscura le seguenti informazioni nel risultato della risoluzione dei problemi:

Indirizzo IP: quando una richiesta di accesso proviene da un Google Cloud servizio all'interno di una rete di produzione interna, l'analizzatore delle violazioni oscura l'indirizzo IP della richiesta di accesso come private.
Informazioni sulla rete:l'analizzatore delle violazioni oscura le informazioni sulla rete della richiesta di accesso come redacted_network, tranne nei seguenti scenari:
- Se fai parte della stessa organizzazione della rete.
- Quando disponi dell'autorizzazione necessaria per visualizzare le informazioni sulla rete.
Entità: l'analizzatore delle violazioni oscura l'indirizzo email di un'entità con... (ad esempio cl...o@gm...m), tranne nei seguenti scenari:
- Se fai parte della stessa organizzazione del principale con accesso negato.
- Quando l'entità di cui è stato negato l'accesso è un agente di servizio o un account di servizio.
Alcuni Google Cloud servizi non raccolgono informazioni sull'identità. Ad esempio, l'API App Engine precedente non raccoglie le identità dell'autore della chiamata. Quando lo strumento di analisi delle violazioni rileva che le informazioni sull'entità mancano nei log, il risultato della risoluzione dei problemi mostra l'entità come no information available.

Stato della valutazione

L'analizzatore delle violazioni valuta un evento di rifiuto di accesso in base a tutti i componenti del perimetro e assegna uno stato di valutazione a ciascun componente.

L'analizzatore delle violazioni potrebbe mostrare i seguenti stati di valutazione nel risultato della risoluzione dei problemi:

Stato	Descrizione
Concessi	Questo stato indica che il componente del perimetro consente la richiesta di accesso valutata.
Rifiutato	Questo stato indica che il componente del perimetro nega la richiesta di accesso valutata.
Non applicabile	Questo stato indica che il componente del perimetro non limita la risorsa o il servizio della richiesta di accesso valutata o non applica la funzionalità dei servizi accessibili da VPC.

Visualizza il risultato della risoluzione dei problemi

La pagina dei risultati della risoluzione dei problemi fornisce una valutazione dettagliata di un evento di rifiuto di accesso. Questo risultato presenta la valutazione dell'evento nel momento specifico in cui hai richiesto all'analizzatore delle violazioni di diagnosticarlo. La pagina dei risultati della risoluzione dei problemi suddivide le informazioni di valutazione in sezioni diverse.

Il risultato della risoluzione dei problemi di un evento di rifiuto di accesso può avere le seguenti sezioni:

Dettagli sulla violazione
Valutazione della violazione
Risorse limitate
Servizi limitati
In entrata
In uscita
Servizi accessibili da VPC

Per visualizzare la valutazione di un componente del perimetro specifico, selezionalo dall'elenco o fai clic sulla freccia di espansione accanto al componente. Ad esempio, per visualizzare la valutazione della risoluzione dei problemi per una regola di uscita, selezionala o fai clic sulla Freccia di espansione accanto alla regola di uscita.

Dettagli sulla violazione

La sezione Dettagli violazione elenca le seguenti informazioni sull'evento di rifiuto di accesso:

L'ora dell'evento di rifiuto di accesso.
L'identità dell'entità che ha richiesto l'accesso.
Il servizio per cui l'entità ha richiesto l'accesso.
Il metodo di servizio per cui l'entità ha richiesto l'accesso.
L'indirizzo IP dell'entità che ha richiesto l'accesso. Questo indirizzo IP è uguale al valore caller_ip della voce di log dell'evento di rifiuto di accesso in Audit log di Cloud. Per ulteriori informazioni, vedi Indirizzo IP dell'utente chiamante nei log di controllo.
Il token per la risoluzione dei problemi dell'evento di rifiuto di accesso.
I dettagli del dispositivo e della regione interessati. Per visualizzare queste informazioni, fai clic su Visualizza ulteriori dettagli.

Valutazione della violazione

La sezione Valutazione violazione mostra la valutazione complessiva dell'evento di rifiuto di accesso. La valutazione include i risultati della risoluzione dei problemi sia in modalità di applicazione forzata sia in modalità di prova secca del perimetro.

I risultati della risoluzione dei problemi relativi a un evento di rifiuto di accesso possono variare nel tempo se si verificano modifiche ai perimetri di servizio o ai criteri di accesso dopo che Controlli di servizio VPC ha registrato l'evento di rifiuto di accesso. Questo comportamento è dovuto al fatto che l'analizzatore delle violazioni recupera le informazioni più recenti dai perimetri di servizio e dai criteri di accesso pertinenti per la valutazione.

Risultato

La sezione Risultato mostra la valutazione dell'evento di rifiuto dell'accesso rispetto a tutti i perimetri coinvolti. Il valore può essere Granted, Denied o Not applicable.

Risorse protette a cui è stato eseguito l'accesso

La sezione Risorse protette a cui è stato eseguito l'accesso elenca i perimetri con lo stato di valutazione corrispondente rispetto all'evento di rifiuto di accesso. In questa sezione puoi visualizzare le seguenti informazioni:

Un elenco di tutte le risorse coinvolte in questo evento di rifiuto di accesso:

La colonna Risorse a cui è stato eseguito l'accesso mostra tutte le risorse coinvolte protette dal perimetro.
Se non disponi delle autorizzazioni sufficienti per visualizzare le risorse con limitazioni, la sezione Risorse protette a cui è stato eseguito l'accesso non elenca il nome del perimetro e la colonna Risorse a cui è stato eseguito l'accesso mostra il progetto coinvolto con un'icona di avviso.

La sezione Altre risorse a cui è stato eseguito l'accesso elenca tutte le altre risorse coinvolte, grouped under one of the following states:

Stato	Descrizione
Senza restrizioni	Questo stato indica che la risorsa non è protetta da alcun perimetro di servizio.
Informazioni negate	Questo stato indica che non disponi delle autorizzazioni sufficienti per visualizzare i perimetri di servizio che proteggono la risorsa.
Errore	Questo stato indica che si è verificato un errore interno durante il tentativo di visualizzare i perimetri di servizio che proteggono la risorsa.

Quando selezioni un perimetro dall'elenco, puoi visualizzare il risultato della risoluzione dei problemi per l'evento di rifiuto di accesso relativo al perimetro selezionato.
Puoi anche visualizzare i risultati della risoluzione dei problemi per le diverse modalità di applicazione del perimetro. Per impostazione predefinita, la pagina del risultato della risoluzione dei problemi mostra il risultato della risoluzione dei problemi in modalità Forzata. Se vuoi visualizzare il risultato della risoluzione dei problemi relativi alla modalità di prova, fai clic su Prova. Per ulteriori informazioni sulle modalità di applicazione del perimetro, consulta Dettagli e configurazione dei perimetri di servizio.

Poiché le configurazioni della modalità forzata e della modalità di prova di un perimetro possono essere diverse, l'analizzatore delle violazioni può generare risultati di risoluzione dei problemi diversi per le configurazioni della modalità forzata e della modalità di prova.

Risorse limitate

Per impostazione predefinita, la sezione Risorse con limitazioni mostra solo le risorse coinvolte in questa violazione e protette dal perimetro selezionato. Per visualizzare le altre risorse protette dal perimetro selezionato, fai clic su Visualizza altre risorse limitate.

Servizi limitati

Per impostazione predefinita, la sezione Servizi con limitazioni mostra solo i servizi coinvolti in questa violazione e protetti dal perimetro selezionato. Per visualizzare gli altri servizi protetti dal perimetro selezionato, fai clic su Visualizza altri servizi limitati.

In entrata

La sezione Ingresso mostra la valutazione dell'evento di rifiuto di accesso rispetto a tutte le regole di ingresso e i livelli di accesso coinvolti. Per ogni richiesta di accesso, l'analizzatore delle violazioni valuta gli agenti o le reti di servizio e le risorse di destinazione corrispondenti in base alle regole di ingresso e ai livelli di accesso.

L'analizzatore delle violazioni raggruppa e mostra le informazioni sulla valutazione delle regole per il traffico in entrata in base alle regole per il traffico in entrata e ai livelli di accesso. Puoi fare clic su ogni livello di accesso o regola in questa sezione e l'analizzatore delle violazioni apre una sezione espandibile che mostra i nomi delle risorse di destinazione valutati in base al livello di accesso o alla regola di ingresso selezionati.

In uscita

La sezione Uscita mostra la valutazione dell'evento di rifiuto di accesso rispetto a tutte le regole di uscita coinvolte. L'analizzatore delle violazioni valuta le coppie di risorse di origine e di destinazione della richiesta di accesso in base alle regole di uscita.

L'analizzatore delle violazioni raggruppa e mostra le informazioni di valutazione delle regole di uscita in base alle regole di uscita. Puoi fare clic su ogni regola in questa sezione e l'analizza delle violazioni apre una sezione espandibile che mostra la valutazione dettagliata delle risorse in base alla regola di uscita selezionata.

Servizi accessibili da VPC

La sezione Servizi accessibili tramite VPC mostra lo stato dei servizi che sono accessibili dagli endpoint di rete all'interno del perimetro. Questi stati corrispondono all'ora in cui si è verificato l'evento di rifiuto di accesso. Se lo stato della valutazione di un servizio è Denied, non puoi accedere al servizio dagli endpoint di rete all'interno del perimetro.

Per ulteriori informazioni, vedi Servizi accessibili tramite VPC.

Confrontare i risultati della modalità di applicazione forzata e della modalità di prova

Puoi confrontare i risultati della risoluzione dei problemi di un evento di rifiuto di accesso tra le modalità di applicazione e di prova del perimetro selezionato. Per confrontare i risultati della risoluzione dei problemi, fai clic su Confronta con dry run nella pagina dei risultati della risoluzione dei problemi della modalità forzata di un perimetro.

Se la modalità di prova eredita la configurazione dalla modalità applicata del perimetro, eredita anche il risultato della risoluzione dei problemi della modalità applicata.

Limitazioni

Devi utilizzare lo strumento di analisi delle violazioni solo nell'ambito dell'organizzazione e non è accessibile nell'ambito del progetto.
L'analizzatore delle violazioni recupera le informazioni più recenti dai perimetri di servizio e dai criteri di accesso pertinenti per la valutazione. Pertanto, i risultati della risoluzione dei problemi per un evento di rifiuto di accesso possono variare nel tempo se vengono apportate modifiche ai perimetri di servizio o ai criteri di accesso dopo che Controlli di servizio VPC ha registrato l'evento di rifiuto di accesso.
- Inoltre, se diagnostichi un evento di rifiuto di accesso più volte, i risultati della risoluzione dei problemi possono variare per ogni diagnosi se il criterio di accesso è cambiato.
Il risultato della risoluzione dei problemi di un evento di rifiuto di accesso potrebbe essere diverso nei seguenti scenari:
- Quando hai definito un livello di accesso all'interno di un criterio basato sugli ambiti e lo hai utilizzato nel perimetro del servizio.
- Quando hai definito condizioni basate su rete VPC e indirizzo IP interno in un livello di accesso e hai utilizzato il livello di accesso nel perimetro del servizio.
- Quando hai definito condizioni basate su attributi del dispositivo in un livello di accesso e hai utilizzato il livello di accesso nel perimetro del servizio, ma non disponi delle autorizzazioni necessarie per visualizzare i dettagli del dispositivo.
- Quando una regola di ingresso o uscita del perimetro del servizio utilizza gruppi di identità o identità di terze parti.
- Quando una regola di uscita del perimetro di servizio utilizza l'attributo sources.
- Quando la richiesta di accesso non contiene risorse.
- Quando hai configurato un criterio relativo alla sicurezza delle credenziali nel livello di accesso.
- Quando una regola di ingresso o di uscita del perimetro del servizio utilizza un'autorizzazione di servizio come condizione di operazione dell'API.

Passaggi successivi

Diagnostica dei problemi mediante lo strumento per la risoluzione dei problemi Controlli di servizio VPC
Per informazioni sui motivi del rifiuto dell'accesso, consulta Richieste di debug bloccate dai Controlli di servizio VPC.