Se usó la API de Cloud Translation para traducir esta página.

Diagnostica un evento de denegación de acceso con el analizador de incumplimientos de los Controles del servicio de VPC

En esta página, se describe cómo usar el analizador de incumplimientos de los Controles del servicio de VPC para comprender y diagnosticar las denegaciones de acceso desde los perímetros de servicio de tu organización.

Los Controles del servicio de VPC generan un token de solución de problemas cuando se rechaza una solicitud de acceso. El analizador de incumplimientos te permite diagnosticar el rechazo de acceso con este token de solución de problemas. Puedes encontrar este token de solución de problemas en los Registros de auditoría de Cloud. Los Controles del servicio de VPC registran toda la información sobre un evento de denegación de acceso en los Registros de auditoría de Cloud, incluido el token de solución de problemas.

También puedes usar el analizador de incumplimientos para diagnosticar denegaciones de acceso desde la configuración de la ejecución de prueba de un perímetro de servicio.

Para obtener información sobre cómo diagnosticar denegaciones de acceso con el solucionador de problemas de los Controles del servicio de VPC, consulta Diagnostica problemas mediante el solucionador de problemas de los Controles del servicio de VPC.

Antes de comenzar

Enable the Policy Troubleshooter API.
Enable the API
Para comprender las políticas de dispositivos en un nivel de acceso y recuperar los detalles del contexto del dispositivo, asegúrate de tener los permisos necesarios en Google Workspace para ver los detalles del dispositivo. Sin estos permisos, si solucionas un evento de denegación que involucra un nivel de acceso con condiciones basadas en el atributo del dispositivo, el resultado de la solución de problemas puede diferir.

Para obtener estos permisos, asegúrate de tener uno de los siguientes roles de Google Workspace:
- Rol de administrador avanzado, administrador de servicios o administrador de dispositivos móviles
- Un rol de administrador personalizado que contenga el privilegio Administrar dispositivos y configuración Puedes encontrar este privilegio en Servicios > Administración de dispositivos móviles.
Para obtener más información sobre cómo asignar roles, consulta Asigna roles de administrador específicos.

Puedes usar el analizador de incumplimientos sin estos permisos en Google Workspace. Sin embargo, el resultado de la solución de problemas puede diferir, como se especificó anteriormente.

Roles obligatorios

Para obtener los permisos que necesitas para usar el analizador de incumplimientos, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Para diagnosticar un evento de denegación de acceso con el analizador de incumplimientos, verifica si tienes el permiso Lector de Access Context Manager (roles/accesscontextmanager.policyReader) en tu política de acceso a nivel de la organización.
Para recuperar el token de solución de problemas de los Registros de auditoría de Cloud, usa el Visor de registros (roles/logging.viewer) en los proyectos que tienen registros de auditoría de los Controles del servicio de VPC.

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para usar el analizador de incumplimientos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para usar el analizador de incumplimientos:

Para diagnosticar un evento de denegación de acceso con el analizador de incumplimientos, haz lo siguiente:
- accesscontextmanager.accessLevels.list en tu política de acceso a nivel de la organización
- accesscontextmanager.policies.get en tu política de acceso a nivel de la organización
- accesscontextmanager.servicePerimeters.list en tu política de acceso a nivel de la organización

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Soluciona problemas relacionados con un evento de rechazo de acceso

Cuando los Controles del servicio de VPC rechazan una solicitud de acceso, generan un ID único y registran un token de solución de problemas encriptado en los Registros de auditoría de Cloud. Cuando usas Google Cloud CLI, los Controles del servicio de VPC muestran el ID único de un evento de rechazo de acceso en el error. Después del evento de denegación de acceso, puedes buscar el token de solución de problemas en los Registros de auditoría de Cloud con el ID único.

Necesitas el token de solución de problemas para diagnosticar un evento de denegación de acceso con el analizador de incumplimientos.

Obtén el token de solución de problemas

En la consola de Google Cloud, ve a la página Explorador de registros.

Ir al Explorador de registros
En la página Explorador de registros, selecciona el permiso del proyecto al que pertenece el evento de denegación de acceso.
Usa los filtros de registro para encontrar la entrada de registro del evento de denegación de acceso.

También puedes usar el ID único para ver la entrada de registro. Para buscar y mostrar registros de auditoría con el ID único, ingresa la siguiente consulta en el campo del editor de consultas:
```
log_id("cloudaudit.googleapis.com/policy")
severity=ERROR
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID"
```
Reemplaza UNIQUE_ID por el ID único del evento de denegación de acceso.
Haz clic en Ejecutar consulta. Esta consulta muestra los registros de auditoría de los Controles del servicio de VPC para el evento de denegación de acceso.
Para expandir los registros de auditoría, en el panel Resultados de la consulta, haz clic en la flecha de expansión .
Expande la sección protoPayload > metadata en la entrada de registro.
Copia el valor de vpcServiceControlsTroubleshootToken de la entrada de registro.

Soluciona problemas con el token

En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

Ir a los Controles del servicio de VPC

Si se te solicita, selecciona tu organización. Solo puedes acceder a la página Controles del servicio de VPC a nivel de organización.
En la página Controles del servicio de VPC, haz clic en Solucionar problemas.
En la página Soluciona problemas de incumplimiento, en el campo Token de solución de problemas (o ID único), ingresa el token de solución de problemas del evento de rechazo de acceso.

Nota: Si deseas usar el solucionador de problemas para diagnosticar el evento de denegación de acceso, ingresa el ID único del evento en el campo Token de solución de problemas (o ID único).
Haz clic en Continuar.

El analizador de incumplimientos evalúa los registros de auditoría del evento de denegación de acceso y muestra el resultado de la solución de problemas.

Comprende el resultado de la solución de problemas

Antes de leer el resultado de la solución de problemas de un evento de denegación de acceso, asegúrate de consultar las siguientes consideraciones.

Ocultación de información sensible

Para proteger los datos sensibles, el analizador de incumplimientos oculta la siguiente información en el resultado de la solución de problemas:

Dirección IP: Cuando una solicitud de acceso se origina en un servicio Google Cloud dentro de una red de producción interna, el analizador de incumplimientos oculta la dirección IP de la solicitud de acceso como private.
Información de red: El analizador de incumplimientos oculta la información de red de la solicitud de acceso como redacted_network, excepto en los siguientes casos:
- Cuando perteneces a la misma organización que la red.
- Cuando tengas el permiso necesario para ver la información de la red.
Principal: El analizador de incumplimientos oculta la dirección de correo electrónico de un principal con ... (por ejemplo, cl...o@gm...m), excepto en las siguientes situaciones:
- Cuando perteneces a la misma organización que el principal al que se le denegó el acceso.
- Cuando el principal con acceso denegado es un agente de servicio o una cuenta de servicio.
Algunos Google Cloud servicios no recopilan información de identidad. Por ejemplo, la API de App Engine heredada no recopila las identidades del llamador. Cuando el analizador de incumplimientos observa que falta la información principal en los registros, el resultado de la solución de problemas muestra el principal como no information available.

Estado de evaluación

El analizador de incumplimientos evalúa un evento de denegación de acceso en función de todos los componentes del perímetro y asigna un estado de evaluación a cada uno de ellos.

El analizador de incumplimientos puede mostrar los siguientes estados de evaluación en el resultado de la solución de problemas:

Estado	Descripción
Otorgado	Este estado indica que el componente de perímetro permite la solicitud de acceso evaluada.
Rechazado	Este estado indica que el componente del perímetro rechaza la solicitud de acceso evaluada.
No aplicable	Este estado indica que el componente del perímetro no restringe el recurso o el servicio de la solicitud de acceso evaluada o no aplica la función de servicios accesibles de VPC.

Consulta el resultado de la solución de problemas

La página de resultados de la solución de problemas proporciona una evaluación detallada de un evento de denegación de acceso. Este resultado presenta la evaluación del evento en el momento específico en que solicitaste al analizador de incumplimientos que lo diagnosticara. En la página de resultados de la solución de problemas, la información de la evaluación se clasifica en diferentes secciones.

El resultado de la solución de problemas de un evento de denegación de acceso puede tener las siguientes secciones:

Detalles del incumplimiento
Evaluación de infracción
Recursos restringidos
Servicios restringidos
Entrada
Salida
Servicios de VPC accesibles

Para ver la evaluación de un componente de perímetro específico, selecciónalo de la lista o haz clic en la flecha de expansión junto a él. Por ejemplo, para ver la evaluación de solución de problemas de una regla de salida, selecciónala o haz clic en la flecha del expansor junto a ella.

Detalles del incumplimiento

En la sección Detalles del incumplimiento, se muestra la siguiente información sobre el evento de denegación de acceso:

La hora del evento de denegación de acceso.
La identidad del principal que solicitó acceso
El servicio para el que el principal solicitó acceso.
Es el método de servicio para el que el principal solicitó acceso.
La dirección IP de la principal que solicitó acceso Esta dirección IP es la misma que el valor caller_ip de la entrada de registro del evento de denegación de acceso en los registros de auditoría de Cloud. Para obtener más información, consulta Dirección IP del llamador en los registros de auditoría.
El token de solución de problemas del evento de denegación de acceso
Los detalles del dispositivo y la región involucrados Para ver esta información, haz clic en Ver detalles adicionales.

Evaluación de infracción

En la sección Evaluación de incumplimientos, se muestra la evaluación general del evento de denegación de acceso. La evaluación incluye los resultados de la solución de problemas del perímetro en los modos de ejecución forzosa y de prueba.

Los resultados de la solución de problemas de un evento de rechazo de acceso pueden variar con el tiempo si hay cambios en los perímetros de servicio o las políticas de acceso después de que los Controles del servicio de VPC registran el evento de rechazo de acceso. Este comportamiento se debe a que el analizador de incumplimientos recupera la información más reciente de los perímetros de servicio y las políticas de acceso relevantes para la evaluación.

Resultado

En la sección Resultado, se muestra la evaluación del evento de denegación de acceso en relación con todos los perímetros involucrados. El valor puede ser Granted, Denied o Not applicable.

Recursos protegidos a los que se accedió

En la sección Recursos protegidos a los que se accedió, se enumeran los perímetros con el estado de evaluación correspondiente en función del evento de denegación de acceso. En esta sección, puedes ver la siguiente información:

Una lista de todos los recursos involucrados en este evento de denegación de acceso:

En la columna Recursos a los que se accedió, se muestran todos los recursos involucrados que protege el perímetro.
Cuando no tienes permisos suficientes para ver los recursos restringidos, la sección Recursos protegidos a los que se accedió no muestra el nombre del perímetro, y la columna Recursos a los que se accedió muestra el proyecto involucrado con un ícono de advertencia.

En la sección Otros recursos a los que se accedió, se enumeran todos los demás recursos involucrados, agrupados en uno de los siguientes estados:

Estado	Descripción
Sin restricciones	Este estado indica que el recurso no está protegido por ningún perímetro de servicio.
Información denegada	Este estado indica que no tienes permisos suficientes para ver los perímetros de servicio que protegen el recurso.
Error	Este estado indica que se produjo un error interno cuando se intentaban ver los perímetros de servicio que protegen el recurso.

Cuando seleccionas un perímetro de la lista, puedes ver el resultado de la solución de problemas del evento de denegación de acceso en el perímetro seleccionado.
También puedes ver los resultados de la solución de problemas de los diferentes modos de aplicación del perímetro. De forma predeterminada, la página de resultados de la solución de problemas muestra el resultado de la solución de problemas del modo Forzado. Si deseas ver el resultado de la solución de problemas del modo de ejecución de prueba, haz clic en Ejecución de prueba. Para obtener más información sobre los modos de aplicación forzosa del perímetro, consulta Configuración y detalles del perímetro de servicio.

Dado que las configuraciones del modo de aplicación forzosa y del modo de ejecución de prueba de un perímetro pueden ser diferentes, el analizador de incumplimientos puede generar diferentes resultados de solución de problemas para las configuraciones del modo de aplicación forzosa y del modo de ejecución de prueba.

Recursos restringidos

De forma predeterminada, la sección Recursos restringidos solo muestra los recursos involucrados en esta infracción y protegidos por el perímetro seleccionado. Para ver los otros recursos que están protegidos por el perímetro seleccionado, haz clic en Ver otros recursos restringidos.

Servicios restringidos

De forma predeterminada, la sección Servicios restringidos solo muestra los servicios involucrados en este incumplimiento y protegidos por el perímetro seleccionado. Para ver los otros servicios protegidos por el perímetro seleccionado, haz clic en Ver otros servicios restringidos.

Entrada

En la sección Ingress, se muestra la evaluación del evento de denegación de acceso en relación con todas las reglas de entrada y los niveles de acceso involucrados. Para cada solicitud de acceso, el analizador de incumplimientos evalúa los agentes o las redes de servicio y los recursos de destino correspondientes en función de las reglas de entrada y los niveles de acceso.

El analizador de incumplimientos agrupa y muestra la información de evaluación de la regla de entrada según las reglas de entrada y los niveles de acceso. Puedes hacer clic en cada regla o nivel de acceso en esta sección, y el analizador de incumplimientos abrirá una sección expandible que muestra los nombres de los recursos de destino evaluados en función de la regla de entrada o el nivel de acceso seleccionado.

Salida

En la sección Salida, se muestra la evaluación del evento de denegación de acceso en relación con todas las reglas de salida involucradas. El analizador de incumplimientos evalúa los pares de recursos de origen y de destino de la solicitud de acceso en función de las reglas de salida.

El analizador de incumplimientos agrupa y muestra la información de evaluación de la regla de salida según las reglas de salida. Puedes hacer clic en cada regla de esta sección para que el analizador de incumplimientos abra una sección expandible que muestra la evaluación detallada de los recursos en función de la regla de salida seleccionada.

Servicios de VPC accesibles

En la sección Servicios accesibles de VPC, se muestra el estado de los servicios a los que se puede acceder desde extremos de red dentro del perímetro. Estos estados corresponden al momento en que ocurrió el evento de denegación de acceso. Si el estado de evaluación de un servicio es Denied, no puedes acceder al servicio desde los extremos de red dentro del perímetro.

Para obtener más información, consulta Servicios de VPC accesibles.

Compara los resultados del modo de ejecución de prueba y del modo forzoso

Puedes comparar los resultados de la solución de problemas de un evento de denegación de acceso entre los modos de ejecución de prueba y de aplicación forzosa del perímetro seleccionado. Para comparar los resultados de la solución de problemas, haz clic en Comparar con la prueba de validación en la página de resultados de la solución de problemas del modo forzoso de un perímetro.

Si el modo de ejecución de prueba hereda la configuración del modo de aplicación forzosa del perímetro, el modo de ejecución de prueba también hereda el resultado de la solución de problemas del modo de aplicación forzosa.

Limitaciones

Debes usar el analizador de incumplimientos solo en el alcance de la organización, y no se puede acceder al analizador de incumplimientos en el alcance del proyecto.
El analizador de incumplimientos recupera la información más reciente de los perímetros de servicio y las políticas de acceso relevantes para la evaluación. Por lo tanto, los resultados de la solución de problemas de un evento de denegación de acceso pueden variar con el tiempo si hay cambios en los perímetros de servicio o las políticas de acceso después de que los Controles del servicio de VPC registran el evento de denegación de acceso.
- Además, si diagnosticas un evento de denegación de acceso varias veces, los resultados de la solución de problemas pueden variar para cada diagnóstico si cambió la política de acceso.
El resultado de la solución de problemas de un evento de denegación de acceso puede diferir en las siguientes situaciones:
- Cuando hayas definido un nivel de acceso dentro de una política centrada y lo hayas usado en tu perímetro de servicio.
- Cuando hayas definido condiciones basadas en la red de VPC y la dirección IP interna en un nivel de acceso y lo hayas usado en tu perímetro de servicio.
- Cuando defines condiciones basadas en el atributo del dispositivo en un nivel de acceso y lo usas en tu perímetro de servicio, pero no tienes los permisos necesarios para ver los detalles del dispositivo.
- Cuando una regla de entrada o salida del perímetro de servicio usa grupos de identidad o identidades de terceros.
- Cuando una regla de salida del perímetro de servicio usa el atributo sources.
- Cuando la solicitud de acceso no contiene ningún recurso.
- Cuando configuraste una política de seguridad de credenciales en el nivel de acceso
- Cuando una regla de entrada o salida del perímetro de servicio usa un permiso de servicio como condición de operación de la API.

¿Qué sigue?

Diagnostica problemas con el solucionador de problemas de los Controles del servicio de VPC
Para obtener información sobre los motivos de denegación de acceso, consulta Solicitudes de depuración bloqueadas por los Controles del servicio de VPC.