Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriffsverweigerung mit dem VPC Service Controls-Verstoßanalysator diagnostizieren

Auf dieser Seite wird beschrieben, wie Sie mit dem VPC Service Controls-Verstoßanalysator Zugriffsverweigerungen von Dienstperimetern in Ihrer Organisation nachvollziehen und diagnostizieren können.

VPC Service Controls generiert ein Token zur Fehlerbehebung, wenn ein Zugriffsanfrage abgelehnt wird. Mit dem Verstoßanalysator können Sie die Zugriffsverweigerung mithilfe dieses Tokens zur Fehlerbehebung diagnostizieren. Sie finden dieses Token zur Fehlerbehebung in Cloud-Audit-Logs. VPC Service Controls protokolliert alle Informationen zu einem Ereignis mit Zugriffsverweigerung in Cloud-Audit-Logs, einschließlich des Tokens zur Fehlerbehebung.

Sie können den Verstoßanalysator auch verwenden, um Zugriffsverweigerungen aus der Konfigurations-Probelauf eines Dienstperimeters zu diagnostizieren.

Informationen zur Diagnose von Zugriffsverweigerungen mithilfe der VPC Service Controls-Fehlerbehebung finden Sie unter Fehlerdiagnose mithilfe der VPC Service Controls-Fehlerbehebung.

Hinweise

Enable the Policy Troubleshooter API.
Enable the API
Wenn Sie die Geräterichtlinien in einer Zugriffsebene verstehen und die Details zum Gerätekontext abrufen möchten, müssen Sie in Google Workspace die erforderlichen Berechtigungen zum Ansehen der Gerätedetails haben. Wenn Sie ohne diese Berechtigungen ein Ereignis mit Zugriffsverweigerung beheben, das eine Zugriffsebene mit Geräteattribut-basierten Bedingungen umfasst, kann das Ergebnis der Fehlerbehebung abweichen.

Sie benötigen eine der folgenden Google Workspace-Rollen, um diese Berechtigungen zu erhalten:
- Super Admin-, Dienstadministrator- oder Mobile Admin-Rolle
- Eine benutzerdefinierte Administratorrolle mit der Berechtigung Geräte und Einstellungen verwalten. Sie finden diese Berechtigung unter Dienste > Mobilgeräteverwaltung.
Weitere Informationen zum Zuweisen von Rollen finden Sie im Hilfeartikel Bestimmte Administratorrollen zuweisen.

In Google Workspace können Sie den Richtlinienverstoß-Analysator auch ohne diese Berechtigungen verwenden. Das Ergebnis der Fehlerbehebung kann sich jedoch, wie bereits erwähnt, unterscheiden.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des Verstoßanalysetools benötigen:

So diagnostizieren Sie ein Ereignis mit Zugriffsverweigerung mithilfe des Verstoßanalysators: Access Context Manager-Leser (roles/accesscontextmanager.policyReader) für die Zugriffsrichtlinie auf Organisationsebene
So rufen Sie das Token zur Fehlerbehebung aus Cloud-Audit-Logs ab: Loganzeige (roles/logging.viewer) für die Projekte mit VPC Service Controls-Audit-Logs

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die für die Verwendung des Verstoßanalysetools erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwendung des Verstoßanalysetools erforderlich:

So diagnostizieren Sie ein Ereignis vom Typ „Zugriff verweigert“ mit dem Verstoßanalysator:
- accesscontextmanager.accessLevels.list der Zugriffsrichtlinie auf Organisationsebene
- accesscontextmanager.policies.get der Zugriffsrichtlinie auf Organisationsebene
- accesscontextmanager.servicePerimeters.list der Zugriffsrichtlinie auf Organisationsebene

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Fehlerbehebung bei einem Ereignis vom Typ „Zugriff verweigert“

Wenn VPC Service Controls einen Zugriffsantrag ablehnt, generiert das Tool eine eindeutige ID und protokolliert ein verschlüsseltes Token zur Fehlerbehebung in Cloud Audit Logs. Wenn Sie die Google Cloud CLI verwenden, gibt VPC Service Controls in der Fehlermeldung die eindeutige ID eines Ereignisses mit Zugriffsverweigerung zurück. Nach dem Ereignis „Zugriff verweigert“ können Sie das Token zur Fehlerbehebung anhand der eindeutigen ID in Cloud-Audit-Logs suchen und finden.

Sie benötigen das Token zur Fehlerbehebung, um ein Ereignis mit Zugriffsverweigerung mit dem Verstoßanalysator zu diagnostizieren.

Token für die Fehlerbehebung abrufen

Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.

Zum Log-Explorer
Wählen Sie auf der Seite Log-Explorer den Projektbereich aus, zu dem das Ereignis „Zugriff verweigert“ gehört.
Verwenden Sie die Protokollfilter, um den Logeintrag für das Ereignis „Zugriff verweigert“ zu finden.

Sie können den Protokolleintrag auch über die eindeutige ID aufrufen. Wenn Sie Audit-Logs anhand der eindeutigen ID suchen und anzeigen möchten, geben Sie die folgende Abfrage in das Feld des Abfrageeditors ein:
```
log_id("cloudaudit.googleapis.com/policy")
severity=ERROR
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID"
```
Ersetzen Sie UNIQUE_ID durch die eindeutige ID des Ereignisses „Zugriff verweigert“.
Klicken Sie auf Abfrage ausführen. Mit dieser Abfrage werden die VPC Service Controls-Audit-Logs für das Ereignis „Zugriff verweigert“ angezeigt.
Wenn Sie die Prüfprotokolle maximieren möchten, klicken Sie im Bereich Abfrageergebnisse auf den Erweiterungspfeil .
Maximieren Sie den Bereich protoPayload > metadata im Logeintrag.
Kopieren Sie den Wert vpcServiceControlsTroubleshootToken aus dem Logeintrag.

Fehlerbehebung mit dem Token

Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

Zu „VPC Service Controls“

Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden. Sie können auf die Seite VPC Service Controls nur auf Organisationsebene zugreifen.
Klicken Sie auf der Seite VPC Service Controls auf Fehlerbehebung.
Geben Sie auf der Seite Verstoß beheben im Feld Token (oder eindeutige ID) für Fehlerbehebung das Token für die Fehlerbehebung des Ereignisses „Zugriff verweigert“ ein.

Hinweis: Wenn Sie die Fehlerbehebung verwenden möchten, um das Ereignis „Zugriff verweigert“ zu diagnostizieren, geben Sie die eindeutige ID des Ereignisses in das Feld Token (oder eindeutige ID) für Fehlerbehebung ein.
Klicken Sie auf Weiter.

Der Verstoßanalysator wertet die Audit-Logs des Ereignisses „Zugriff verweigert“ aus und zeigt das Ergebnis der Fehlerbehebung an.

Ergebnis der Fehlerbehebung

Bevor Sie das Ergebnis der Fehlerbehebung für ein Ereignis mit Zugriffsverweigerung lesen, sollten Sie die folgenden Punkte beachten.

Entfernen sensibler Informationen

Zum Schutz vertraulicher Daten entfernt der Verstoßanalysator die folgenden Informationen aus dem Ergebnis der Fehlerbehebung:

IP-Adresse:Wenn eine Zugriffsanfrage von einem Google Cloud Dienst in einem internen Produktionsnetzwerk stammt, wird die IP-Adresse der Zugriffsanfrage vom Verstoßanalysator als private ausgeblendet.
Netzwerkinformationen:Der Verstoßanalysator ersetzt die Netzwerkinformationen der Zugriffsanfrage durch redacted_network, mit folgenden Ausnahmen:
- Sie gehören zur selben Organisation wie das Netzwerk.
- Sie haben die erforderliche Berechtigung, um die Netzwerkinformationen aufzurufen.
Hauptkonto: Der Verstoßanalysator ersetzt die E-Mail-Adresse eines Hauptkontos durch ... (z. B. cl...o@gm...m), mit folgenden Ausnahmen:
- Wenn Sie zur selben Organisation wie die Person gehören, für die der Zugriff verweigert wurde.
- Wenn das Hauptkonto, für das der Zugriff verweigert wurde, ein Dienst-Agent oder ein Dienstkonto ist.
Bei einigen Google Cloud Diensten werden keine Identitätsinformationen erhoben. Die Anruferidentitäten werden beispielsweise nicht von der Legacy App Engine API erfasst. Wenn der Verstoßanalysator feststellt, dass die Informationen zum Hauptkonto in den Protokollen fehlen, wird im Ergebnis der Fehlerbehebung das Hauptkonto als no information available angezeigt.

Bewertungsstatus

Der Verstoßanalysator prüft ein Ereignis mit Zugriffsverweigerung anhand aller Perimeterkomponenten und weist jeder Komponente einen Bewertungsstatus zu.

Der Verstoßanalysator kann im Ergebnis der Fehlerbehebung die folgenden Bewertungsstatus anzeigen:

Status	Beschreibung
Genehmigt	Dieser Status gibt an, dass die Perimeterkomponente die ausgewertete Zugriffsanfrage zulässt.
Abgelehnt	Dieser Status gibt an, dass die Perimeterkomponente die ausgewertete Zugriffsanfrage ablehnt.
Nicht zutreffend	Dieser Status gibt an, dass die Perimeterkomponente die Ressource oder den Dienst nicht für die ausgewertete Zugriffsanfrage einschränkt oder die Funktion „Zugängliche VPC-Dienste“ nicht erzwingt.

Ergebnis der Fehlerbehebung ansehen

Auf der Seite mit den Ergebnissen der Fehlerbehebung finden Sie eine detaillierte Bewertung eines Ereignisses mit Zugriffsverweigerung. Dieses Ergebnis stellt die Bewertung des Ereignisses zu dem Zeitpunkt dar, zu dem Sie den Verstoßanalysator um eine Diagnose des Ereignisses gebeten haben. Auf der Ergebnisseite der Fehlerbehebung sind die Bewertungsinformationen in verschiedene Abschnitte unterteilt.

Das Ergebnis der Fehlerbehebung bei einem Ereignis vom Typ „Zugriff verweigert“ kann die folgenden Abschnitte enthalten:

Details zum Verstoß
Auswertung des Verstoßes
Eingeschränkte Ressourcen
Eingeschränkte Dienste
Eingehender Traffic
Ausgehender Traffic
Zugängliche VPC-Dienste

Wenn Sie die Bewertung einer bestimmten Perimeterkomponente aufrufen möchten, wählen Sie sie aus der Liste aus oder klicken Sie neben der Perimeterkomponente auf den Maximierungspfeil . Wenn Sie beispielsweise die Fehlerbehebung für eine Regel für ausgehenden Traffic aufrufen möchten, wählen Sie die Regel aus oder klicken Sie neben der Regel auf den Maximierungspfeil .

Details zum Verstoß

Im Abschnitt Details zum Verstoß sind die folgenden Informationen zum Ereignis „Zugriff verweigert“ aufgeführt:

Die Zeit des Ereignisses „Zugriff verweigert“.
Die Identität des Hauptkontos, das den Zugriff angefordert hat.
Der Dienst, für den der Hauptbenutzer Zugriff angefordert hat.
Die Dienstmethode, für die der Hauptbenutzer Zugriff angefordert hat.
Die IP-Adresse des Hauptkontos, das den Zugriff angefordert hat. Diese IP-Adresse stimmt mit dem Wert caller_ip des Protokolleintrags des Ereignisses „Zugriff verweigert“ in den Cloud-Audit-Logs überein. Weitere Informationen finden Sie unter IP-Adresse des Anrufers in Prüfprotokollen.
Das Token zur Fehlerbehebung für das Ereignis „Zugriff verweigert“.
Details zum betroffenen Gerät und zur Region. Wenn Sie diese Informationen aufrufen möchten, klicken Sie auf Weitere Details ansehen.

Auswertung des Verstoßes

Im Abschnitt Verstoßbewertung sehen Sie die Gesamtbewertung des Ereignisses „Zugriff verweigert“. Die Bewertung umfasst sowohl die Ergebnisse der Fehlerbehebung im erzwungenen Modus als auch im Modus für den Probelauf.

Die Ergebnisse der Fehlerbehebung für ein Ereignis mit Zugriffsverweigerung können sich im Laufe der Zeit ändern, wenn sich Dienstperimeter oder Zugriffsrichtlinien ändern, nachdem das Ereignis mit Zugriffsverweigerung in VPC Service Controls protokolliert wurde. Dieses Verhalten ist darauf zurückzuführen, dass der Verstoßanalysator die neuesten Informationen aus den relevanten Dienstperimetern und Zugriffsrichtlinien zur Bewertung abholt.

Ergebnis

Im Bereich Ergebnis sehen Sie die Bewertung des Ereignisses „Zugriff verweigert“ im Hinblick auf alle beteiligten Perimeter. Der Wert kann Granted, Denied oder Not applicable sein.

Aufgerufene geschützte Ressourcen

Im Abschnitt Zugriff auf geschützte Ressourcen sind die Perimeter mit dem entsprechenden Bewertungsstatus für das Ereignis „Zugriff verweigert“ aufgeführt. In diesem Abschnitt finden Sie folgende Informationen:

Eine Liste aller Ressourcen, die an diesem Ereignis beteiligt waren:

In der Spalte Aufgerufene Ressourcen werden alle beteiligten Ressourcen angezeigt, die durch den Perimeter geschützt sind.
Wenn Sie nicht über ausreichende Berechtigungen zum Ansehen der eingeschränkten Ressourcen verfügen, wird im Abschnitt Aufgerufene geschützte Ressourcen kein Perimetername aufgeführt und in der Spalte Aufgerufene Ressourcen wird das betreffende Projekt mit einem Warnsymbol angezeigt.

Im Abschnitt Andere auf die zugegriffen wurde sind alle anderen beteiligten Ressourcen aufgeführt, die in einem der folgenden Status gruppiert sind:

Bundesland	Beschreibung
Uneingeschränkt	Dieser Status gibt an, dass die Ressource nicht durch einen Dienstperimeter geschützt ist.
Informationen verweigert	Dieser Status gibt an, dass Sie nicht berechtigt sind, die Dienstperimeter aufzurufen, die die Ressource schützen.
Fehler	Dieser Status gibt an, dass beim Aufrufen der Dienstperimeter, die die Ressource schützen, ein interner Fehler aufgetreten ist.

Wenn Sie einen Perimeter aus der Liste auswählen, können Sie das Ergebnis der Fehlerbehebung für das Ereignis „Zugriff verweigert“ für den ausgewählten Perimeter aufrufen.
Sie können sich auch die Ergebnisse der Fehlerbehebung für verschiedene Erzwingungsmodi des Perimeter anzeigen lassen. Standardmäßig wird auf der Seite mit den Ergebnissen der Fehlerbehebung das Ergebnis für den erzwungenen Modus angezeigt. Wenn Sie das Ergebnis der Fehlerbehebung im Probelaufmodus sehen möchten, klicken Sie auf Probelauf. Weitere Informationen zu den Modi für die Perimetererzwingung finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.

Da sich die Konfigurationen für den erzwungenen Modus und den Modus für den Trockenlauf eines Perimeters unterscheiden können, kann der Verstoßanalysator unterschiedliche Ergebnisse für die Fehlerbehebung für die Konfigurationen im erzwungenen Modus und im Modus für den Trockenlauf generieren.

Eingeschränkte Ressourcen

Standardmäßig werden im Bereich Eingeschränkte Ressourcen nur die Ressourcen angezeigt, die an diesem Verstoß beteiligt sind und durch den ausgewählten Perimeter geschützt sind. Wenn Sie sich die anderen Ressourcen ansehen möchten, die durch den ausgewählten Perimeter geschützt sind, klicken Sie auf Andere eingeschränkte Ressourcen anzeigen.

Eingeschränkte Dienste

Im Bereich Eingeschränkte Dienste werden standardmäßig nur die Dienste angezeigt, die an diesem Verstoß beteiligt sind und durch den ausgewählten Perimeter geschützt sind. Wenn Sie die anderen Dienste aufrufen möchten, die durch den ausgewählten Perimeter geschützt sind, klicken Sie auf Weitere eingeschränkte Dienste anzeigen.

Eingehender Traffic

Im Abschnitt Eintritt sehen Sie die Bewertung des Zugriffsverweigerungsereignisses im Hinblick auf alle beteiligten Regeln für den Eintritt und Zugriffsebenen. Bei jeder Zugriffsanfrage prüft der Verstoßanalysator die Dienst-Agenten oder ‑Netzwerke und die entsprechenden Zielressourcen anhand der Regeln für eingehenden Traffic und der Zugriffsebenen.

Der Verstoßanalysator gruppiert und zeigt die Informationen zur Bewertung der Ingress-Regeln basierend auf den Ingress-Regeln und Zugriffsebenen an. Sie können in diesem Bereich auf jede Regel oder Zugriffsebene klicken. Daraufhin öffnet sich im Verstoßanalysator ein ausblendbarer Bereich mit den Namen der Zielressourcen, die anhand der ausgewählten Ingress-Regel oder Zugriffsebene bewertet wurden.

Ausgehender Traffic

Im Abschnitt Ausgehende Verbindungen sehen Sie die Bewertung des Ereignisses „Zugriff verweigert“ im Hinblick auf alle beteiligten Regeln für ausgehenden Traffic. Der Verstoßanalysator prüft die Quell- und Zielressourcenpaare der Zugriffsanfrage anhand der Ausstiegsregeln.

Der Verstoßanalysator gruppiert und zeigt die Informationen zur Bewertung der ausgehenden Regeln basierend auf den ausgehenden Regeln an. Sie können in diesem Abschnitt auf jede Regel klicken. Daraufhin öffnet der Verstoßanalysator einen ausblendbaren Bereich, in dem die Ressourcen im Hinblick auf die ausgewählte Ausstiegsregel detailliert bewertet werden.

Zugängliche VPC-Dienste

Im Bereich Über VPC zugängliche Dienste sehen Sie den Status der Dienste, auf die von Netzwerkendpunkten innerhalb des Perimeters zugegriffen werden kann. Diese Status entsprechen dem Zeitpunkt, zu dem das Ereignis „Zugriff verweigert“ stattgefunden hat. Wenn der Bewertungsstatus für einen Dienst Denied ist, können Sie nicht von Netzwerkendpunkten innerhalb des Perimeters auf den Dienst zugreifen.

Weitere Informationen finden Sie unter Über VPC zugängliche Dienste.

Ergebnisse des Erzwingungsmodus mit denen des Probelaufs vergleichen

Sie können die Ergebnisse der Fehlerbehebung für ein Ereignis mit Zugriffsverweigerung im erzwungenen Modus und im Modus „Probelauf“ des ausgewählten Perimeters vergleichen. Wenn Sie die Ergebnisse der Fehlerbehebung vergleichen möchten, klicken Sie auf der Seite mit den Ergebnissen der Fehlerbehebung für einen Perimeter im erzwungenen Modus auf Mit Probelauf vergleichen.

Wenn der Probelaufmodus die Konfiguration aus dem erzwungenen Modus des Perimeters übernimmt, wird auch das Ergebnis der Fehlerbehebung im erzwungenen Modus übernommen.

Beschränkungen

Sie können den Verstoßanalysetool nur auf Organisationsebene verwenden. Auf Projektebene ist es nicht verfügbar.
Der Verstoßanalysator ruft die neuesten Informationen aus den relevanten Dienstperimetern und Zugriffsrichtlinien zur Bewertung ab. Die Ergebnisse der Fehlerbehebung für ein Ereignis mit Zugriffsverweigerung können sich also im Laufe der Zeit ändern, wenn sich Dienstperimeter oder Zugriffsrichtlinien ändern, nachdem VPC Service Controls das Ereignis mit Zugriffsverweigerung protokolliert hat.
- Wenn Sie ein Ereignis mit Zugriffsverweigerung mehrmals diagnostizieren, können die Ergebnisse der Fehlerbehebung bei jeder Diagnose variieren, wenn sich die Zugriffsrichtlinie geändert hat.
Das Ergebnis der Fehlerbehebung bei einem Ereignis vom Typ „Zugriff verweigert“ kann in den folgenden Fällen variieren:
- Wenn Sie eine Zugriffsebene in einer Richtlinie mit Gültigkeitsbereich definiert und die Zugriffsebene in Ihrem Dienstperimeter verwendet haben.
- Wenn Sie in einer Zugriffsebene Bedingungen basierend auf VPC-Netzwerken und internen IP-Adressen definiert und die Zugriffsebene in Ihrem Dienstperimeter verwendet haben.
- Sie haben in einer Zugriffsebene Bedingungen auf Grundlage von Geräteattributen definiert und die Zugriffsebene in Ihrem Dienstbereich verwendet, aber Sie haben nicht die Berechtigungen zum Ansehen der Gerätedetails.
- Wenn in einer Eingangs- oder Ausgangsregel des Dienstperimeters Identitätsgruppen oder Identitäten von Drittanbietern verwendet werden.
- Wenn eine ausgehende Regel des Dienstperimeters das sources-Attribut verwendet.
- Wenn die Zugriffsanfrage keine Ressourcen enthält.
- Wenn Sie in der Zugriffsebene eine Richtlinie für die Qualität von Anmeldedaten konfiguriert haben.
- Wenn in einer Eingangs- oder Ausgangsregel des Dienstperimeters eine Dienstberechtigung als Bedingung für einen API-Vorgang verwendet wird.

Nächste Schritte

Probleme mithilfe der VPC Service Controls-Fehlerbehebung diagnostizieren
Informationen zu den Gründen für die Zugriffsverweigerung finden Sie unter Fehlerbehebung, wenn eine Anfrage aus nicht vorhersehbaren Gründen von VPC Service Controls blockiert wurde.