Cette page explique comment utiliser l'analyseur de non-respect de VPC Service Controls pour comprendre et diagnostiquer les refus d'accès provenant des périmètres de service de votre organisation.
VPC Service Controls génère un jeton de dépannage lorsqu'il refuse une requête d'accès. L'outil d'analyse des cas de non-respect vous permet de diagnostiquer le refus d'accès à l'aide de ce jeton de dépannage. Vous trouverez ce jeton de dépannage dans les journaux d'audit Cloud. VPC Service Controls consigne toutes les informations sur un événement de refus d'accès dans Cloud Audit Logs, y compris le jeton de dépannage.
Vous pouvez également utiliser l'analyseur de non-respect pour diagnostiquer les refus d'accès à partir de la configuration de simulation d'un périmètre de service.
Pour savoir comment diagnostiquer les refus d'accès à l'aide de l'outil de dépannage de VPC Service Controls, consultez Diagnostiquer les problèmes à l'aide de l'outil de dépannage de VPC Service Controls.
Avant de commencer
Enable the Policy Troubleshooter API.
Pour comprendre les règles d'appareil d'un niveau d'accès et récupérer les détails du contexte de l'appareil, assurez-vous de disposer des autorisations requises dans Google Workspace pour afficher les détails de l'appareil. Sans ces autorisations, si vous corrigez un événement de refus impliquant un niveau d'accès avec des conditions basées sur un attribut de l'appareil, le résultat de la résolution des problèmes peut varier.
Pour obtenir ces autorisations, assurez-vous de disposer de l'un des rôles Google Workspace suivants:
Rôle de super-administrateur, d'administrateur des services ou d'administrateur mobile
Un rôle d'administrateur personnalisé contenant le droit Gérer les appareils et les paramètres. Vous trouverez ce droit sous Services > Gestion des appareils mobiles.
Pour en savoir plus sur l'attribution de rôles, consultez Attribuer des rôles d'administrateur spécifiques.
Vous pouvez utiliser l'outil d'analyse des cas de non-respect sans ces autorisations dans Google Workspace. Toutefois, le résultat de la procédure de dépannage peut être différent, comme indiqué précédemment.
Rôles requis
Pour obtenir les autorisations nécessaires pour utiliser l'analyseur de non-conformité, demandez à votre administrateur de vous accorder les rôles IAM suivants:
-
Pour diagnostiquer un événement de refus d'accès à l'aide de l'analyseur de non-respect :
Lecteur Access Context Manager (
roles/accesscontextmanager.policyReader) sur votre stratégie d'accès au niveau de l'organisation. -
Pour récupérer le jeton de dépannage à partir des journaux d'audit Cloud Audit Logs :
Visionneuse de journaux (
roles/logging.viewer) sur les projets disposant de journaux d'audit VPC Service Controls
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour utiliser l'analyseur de non-conformité. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Vous devez disposer des autorisations suivantes pour utiliser l'analyseur de non-respect:
-
Pour diagnostiquer un événement de refus d'accès à l'aide de l'analyseur de non-respect :
-
accesscontextmanager.accessLevels.listsur votre règle d'accès au niveau de l'organisation -
accesscontextmanager.policies.getsur votre règle d'accès au niveau de l'organisation -
accesscontextmanager.servicePerimeters.listsur votre règle d'accès au niveau de l'organisation
-
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Résoudre un événement de refus d'accès
Lorsqu'une requête d'accès est refusée par VPC Service Controls, un identifiant unique est généré et un jeton de dépannage chiffré est consigné dans les journaux d'audit Cloud. Lorsque vous utilisez la Google Cloud CLI, VPC Service Controls renvoie l'identifiant unique d'un événement de refus d'accès dans l'erreur. Après l'événement de refus d'accès, vous pouvez rechercher et trouver le jeton de dépannage dans Cloud Audit Logs à l'aide de l'ID unique.
Vous avez besoin du jeton de dépannage pour diagnostiquer un événement de refus d'accès à l'aide de l'analyseur de non-respect.
Obtenir le jeton de dépannage
Dans Google Cloud Console, accédez à la page Explorateur de journaux.
Sur la page Explorateur de journaux, sélectionnez le champ d'application du projet auquel appartient l'événement de refus d'accès.
Utilisez les filtres de journal pour trouver l'entrée de journal de l'événement de refus d'accès.
Vous pouvez également utiliser l'ID unique pour afficher l'entrée de journal. Pour rechercher et afficher les journaux d'audit à l'aide de l'ID unique, saisissez la requête suivante dans le champ de l'éditeur de requête:
log_id("cloudaudit.googleapis.com/policy") severity=ERROR resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID"Remplacez
UNIQUE_IDpar l'ID unique de l'événement de refus d'accès.Cliquez sur Exécuter la requête. Cette requête affiche les journaux d'audit VPC Service Controls pour l'événement de refus d'accès.
Pour développer les journaux d'audit, dans le volet Résultats de la requête, cliquez sur la flèche de développement .
Développez la section protoPayload > metadata (Métadonnées) dans l'entrée de journal.
Copiez la valeur
vpcServiceControlsTroubleshootTokende l'entrée de journal.
Résoudre les problèmes à l'aide du jeton
Dans Google Cloud Console, accédez à la page VPC Service Controls.
Accéder à VPC Service Controls
Si vous y êtes invité, sélectionnez votre organisation. Vous ne pouvez accéder à la page VPC Service Controls qu'au niveau de l'organisation.
Sur la page VPC Service Controls, cliquez sur Résoudre les problèmes.
Sur la page Troubleshoot violation (Dépannage de l'infraction), dans le champ Troubleshooting token (or unique ID) (Jeton de dépannage (ou identifiant unique)), saisissez le jeton de dépannage de l'événement de refus d'accès.
Cliquez sur Continuer.
L'analyseur de non-respect évalue les journaux d'audit de l'événement de refus d'accès et affiche le résultat du dépannage.
Interpréter le résultat du dépannage
Avant de lire le résultat du dépannage d'un événement de refus d'accès, assurez-vous de consulter les considérations suivantes.
Masquage des informations sensibles
Pour protéger les données sensibles, l'outil d'analyse des cas de non-respect masque les informations suivantes dans le résultat de dépannage:
Adresse IP:lorsqu'une requête d'accès provient d'un service Google Cloud dans un réseau de production interne, l'analyseur de non-respect masque l'adresse IP de la requête d'accès sous la forme
private.Informations réseau:l'analyseur de non-respect masque les informations réseau de la requête d'accès sous la forme
redacted_network, sauf dans les scénarios suivants:Si vous appartenez à la même organisation que le réseau.
Lorsque vous disposez de l'autorisation nécessaire pour afficher les informations sur le réseau.
Principal:l'analyseur de non-respect masque l'adresse e-mail d'un principal avec
...(par exemple,cl...o@gm...m), sauf dans les scénarios suivants:Lorsque vous appartenez à la même organisation que l'entité principale à laquelle l'accès est refusé.
Lorsque le principal refusé est un agent de service ou un compte de service.
Certains Google Cloud services ne collectent pas d'informations d'identité. Par exemple, l'ancienne API App Engine ne collecte pas les identités de l'appelant. Lorsque l'analyseur de non-respect constate que les informations sur le principal sont manquantes dans les journaux, le résultat du dépannage affiche le principal sous la forme
no information available.
État de l'évaluation
L'analyseur de non-respect évalue un événement de refus d'accès par rapport à tous les composants du périmètre et attribue un état d'évaluation à chaque composant.
L'outil d'analyse des cas de non-respect peut afficher les états d'évaluation suivants dans le résultat de dépannage:
| État | Description |
|---|---|
| Accordé | Cet état indique que le composant de périmètre autorise la requête d'accès évaluée. |
| Refusée | Cet état indique que le composant de périmètre refuse la requête d'accès évaluée. |
| Non applicable | Cet état indique que le composant de périmètre ne limite pas la ressource ou le service de la requête d'accès évaluée, ou qu'il n'applique pas la fonctionnalité de services accessibles au VPC. |
Afficher le résultat du dépannage
La page des résultats de dépannage fournit une évaluation détaillée d'un événement de refus d'accès. Ce résultat présente l'évaluation de l'événement au moment précis où vous avez demandé à l'analyseur de non-conformité de diagnostiquer l'événement. La page des résultats de dépannage regroupe les informations d'évaluation dans différentes sections.
Le résultat de dépannage d'un événement de refus d'accès peut comporter les sections suivantes:
Détails de l'infraction
Évaluation du cas de non-respect
Ressources limitées
Services restreints
Entrée
Sortie
Services accessibles par VPC
Pour afficher l'évaluation d'un composant de périmètre spécifique, sélectionnez-le dans la liste ou cliquez sur la flèche de développement à côté du composant de périmètre. Par exemple, pour afficher l'évaluation de dépannage d'une règle de sortie, sélectionnez la règle de sortie ou cliquez sur la flèche d'expansion à côté de la règle de sortie.
Détails de l'infraction
La section Détails du non-respect contient les informations suivantes sur l'événement de refus d'accès:
Heure de l'événement de refus d'accès.
Identité du principal ayant demandé l'accès.
Service pour lequel l'entité principale a demandé l'accès.
Méthode de service pour laquelle le principal a demandé l'accès.
Adresse IP du principal ayant demandé l'accès. Cette adresse IP est identique à la valeur
caller_ipde l'entrée de journal de l'événement de refus d'accès dans Cloud Audit Logs. Pour en savoir plus, consultez la section Adresse IP de l'appelant dans les journaux d'audit.Jeton de dépannage de l'événement de refus d'accès.
Détails de l'appareil et de la région concernés. Pour afficher ces informations, cliquez sur Afficher des informations supplémentaires.
Évaluation du cas de non-respect
La section Évaluation de l'infraction indique l'évaluation globale de l'événement de refus d'accès. L'évaluation comprend les résultats de dépannage du périmètre en mode forcé et simulation.
Les résultats de dépannage d'un événement de refus d'accès peuvent varier au fil du temps si des modifications sont apportées aux périmètres de service ou aux stratégies d'accès après que VPC Service Controls a enregistré l'événement de refus d'accès. Ce comportement est dû au fait que l'analyseur de non-respect récupère les dernières informations des périmètres de service et des règles d'accès pertinents à des fins d'évaluation.
Résultat
La section Résultat indique l'évaluation de l'événement de refus d'accès par rapport à tous les périmètres concernés. La valeur peut être Granted, Denied ou Not applicable.
Ressources protégées consultées
La section Ressources protégées consultées liste les périmètres avec l'état d'évaluation correspondant à l'événement de refus d'accès. Vous y trouverez les informations suivantes:
Liste de toutes les ressources impliquées dans cet événement de refus d'accès:
La colonne Ressources consultées affiche toutes les ressources impliquées protégées par le périmètre.
Lorsque vous ne disposez pas des autorisations nécessaires pour afficher les ressources limitées, la section Ressources protégées auxquelles vous avez accédé ne liste pas le nom du périmètre, et la colonne Ressources auxquelles vous avez accédé affiche le projet concerné avec une icône d'avertissement.
La section Autres ressources consultées liste toutes les autres ressources impliquées, regroupées dans l'un des états suivants:
État Description Pas de restriction Cet état indique que la ressource n'est protégée par aucun périmètre de service. Infos refusées Cet état indique que vous ne disposez pas des autorisations nécessaires pour afficher les périmètres de service protégeant la ressource. Erreur Cet état indique qu'une erreur interne s'est produite lors de la tentative d'affichage des périmètres de service protégeant la ressource.
Lorsque vous sélectionnez un périmètre dans la liste, vous pouvez consulter le résultat du dépannage pour l'événement de refus d'accès associé au périmètre sélectionné.
Vous pouvez également consulter les résultats de dépannage pour différents modes d'application du périmètre. Par défaut, la page des résultats de dépannage affiche le résultat de dépannage du mode application forcée. Si vous souhaitez afficher le résultat du dépannage en mode simulation, cliquez sur Simulation. Pour en savoir plus sur les modes d'application du périmètre, consultez la page Périmètres de service : détails et configuration.
Étant donné que les configurations en mode forcé et en mode simulation d'un périmètre peuvent être différentes, l'analyseur de non-respect peut générer des résultats de dépannage différents pour les configurations en mode forcé et en mode simulation.
Ressources limitées
Par défaut, la section Ressources limitées n'affiche que les ressources impliquées dans cette infraction et protégées par le périmètre sélectionné. Pour afficher les autres ressources protégées par le périmètre sélectionné, cliquez sur Afficher d'autres ressources restreintes.
Services restreints
Par défaut, la section Services restreints n'affiche que les services impliqués dans cette infraction et protégés par le périmètre sélectionné. Pour afficher les autres services protégés par le périmètre sélectionné, cliquez sur Afficher d'autres services restreints.
Entrée
La section Ingress (Entrée) indique l'évaluation de l'événement de refus d'accès par rapport à toutes les règles d'entrée et à tous les niveaux d'accès concernés. Pour chaque requête d'accès, l'analyseur de non-respect évalue les agents de service ou les réseaux, ainsi que les ressources cibles correspondantes, par rapport aux règles d'entrée et aux niveaux d'accès.
L'analyseur de non-respect regroupe et affiche les informations d'évaluation des règles d'entrée en fonction des règles d'entrée et des niveaux d'accès. Vous pouvez cliquer sur chaque règle ou niveau d'accès de cette section. L'analyseur de non-respect ouvre alors une section extensible qui affiche les noms des ressources cibles évalués par rapport à la règle d'entrée ou au niveau d'accès sélectionné.
Sortie
La section Sortie affiche l'évaluation de l'événement de refus d'accès par rapport à toutes les règles de sortie impliquées. L'analyseur de non-respect évalue les paires de ressources source et cible de la requête d'accès par rapport aux règles de sortie.
L'analyseur de non-respect regroupe et affiche les informations d'évaluation des règles de sortie en fonction des règles de sortie. Vous pouvez cliquer sur chaque règle de cette section. L'analyseur de non-respect ouvre alors une section extensible qui affiche l'évaluation détaillée des ressources par rapport à la règle de sortie sélectionnée.
Services accessibles par VPC
La section Services accessibles par VPC indique l'état des services accessibles à partir de points de terminaison du réseau dans le périmètre. Ces états correspondent à l'heure à laquelle l'événement de refus d'accès s'est produit. Si l'état d'évaluation d'un service est Denied, vous ne pouvez pas y accéder à partir des points de terminaison du réseau situés dans le périmètre.
Pour en savoir plus, consultez la page Services accessibles par VPC.
Comparer les résultats des modes forcé et dry run
Vous pouvez comparer les résultats de dépannage d'un événement de refus d'accès entre les modes forcé et simulation du périmètre sélectionné. Pour comparer les résultats de dépannage, cliquez sur Comparer au mode dry run sur la page des résultats de dépannage du mode forcé d'un périmètre.
Si le mode simulation hérite de la configuration du mode forcé du périmètre, il hérite également du résultat de dépannage du mode forcé.
Limites
Vous ne devez utiliser l'analyseur de non-respect que dans le cadre de l'organisation. Il n'est pas accessible au niveau du projet.
L'outil d'analyse des cas de non-respect récupère les dernières informations des périmètres de service et des règles d'accès concernés à des fins d'évaluation. Par conséquent, les résultats de dépannage d'un événement de refus d'accès peuvent varier au fil du temps si des modifications sont apportées aux périmètres de service ou aux stratégies d'accès après que VPC Service Controls a enregistré l'événement de refus d'accès.
- En outre, si vous diagnostiquez un événement de refus d'accès plusieurs fois, les résultats de dépannage peuvent varier pour chaque diagnostic si la stratégie d'accès a changé.
Le résultat de dépannage d'un événement de refus d'accès peut varier dans les scénarios suivants:
Lorsque vous avez défini un niveau d'accès dans une règle de portée et que vous l'avez utilisé dans votre périmètre de service.
Lorsque vous avez défini des conditions basées sur un réseau VPC et une adresse IP interne dans un niveau d'accès et que vous avez utilisé ce niveau d'accès dans votre périmètre de service.
Lorsque vous avez défini des conditions basées sur un attribut de l'appareil dans un niveau d'accès et que vous avez utilisé ce niveau d'accès dans le périmètre de votre service, mais que vous ne disposez pas des autorisations requises pour afficher les informations sur l'appareil.
Lorsqu'une règle d'entrée ou de sortie du périmètre de service utilise des groupes d'identité ou des identités tierces.
Lorsqu'une règle de sortie du périmètre de service utilise l'attribut
sources.Lorsque la requête d'accès ne contient aucune ressource.
Lorsque vous avez configuré une règle concernant le niveau de sécurité des identifiants au niveau d'accès.
Lorsqu'une règle d'entrée ou de sortie du périmètre de service utilise une autorisation de service comme condition d'opération de l'API.
Étape suivante
- Diagnostiquer les problèmes à l'aide de l'outil de dépannage de VPC Service Controls
- Pour en savoir plus sur les raisons de refus d'accès, consultez la section Déboguer les requêtes bloquées par VPC Service Controls.