Halaman ini menjelaskan cara menggunakan penganalisis pelanggaran Kontrol Layanan VPC untuk memahami dan mendiagnosis penolakan akses dari perimeter layanan di organisasi Anda.
Kontrol Layanan VPC menghasilkan token pemecahan masalah saat Kontrol Layanan VPC menolak permintaan akses. Dengan Analis pelanggaran, Anda dapat mendiagnosis penolakan akses menggunakan token pemecahan masalah ini. Anda dapat menemukan token pemecahan masalah ini di Cloud Audit Logs. Kontrol Layanan VPC mencatat semua informasi tentang peristiwa penolakan akses di Cloud Audit Logs, termasuk token pemecahan masalah.
Anda juga dapat menggunakan penganalisis pelanggaran untuk mendiagnosis penolakan akses dari konfigurasi uji coba perimeter layanan.
Untuk informasi tentang cara mendiagnosis penolakan akses menggunakan pemecah masalah Kontrol Layanan VPC, lihat Mendiagnosis masalah menggunakan pemecah masalah Kontrol Layanan VPC.
Sebelum memulai
Enable the Policy Troubleshooter API.
Untuk memahami kebijakan perangkat di tingkat akses dan mengambil detail konteks perangkat, pastikan Anda memiliki izin yang diperlukan di Google Workspace untuk melihat detail perangkat. Tanpa izin ini, jika Anda memecahkan masalah peristiwa penolakan yang melibatkan tingkat akses dengan kondisi berbasis atribut perangkat, hasil pemecahan masalah dapat berbeda.
Untuk mendapatkan izin ini, pastikan Anda memiliki salah satu peran Google Workspace berikut:
Peran administrator kustom yang berisi hak istimewa Kelola Perangkat dan Setelan. Anda dapat menemukan hak istimewa ini di bagian Layanan > Pengelolaan Perangkat Seluler.
Untuk mengetahui informasi selengkapnya tentang cara menetapkan peran, lihat Menetapkan peran admin tertentu.
Anda dapat menggunakan penganalisis pelanggaran tanpa izin ini di Google Workspace. Namun, hasil pemecahan masalah mungkin berbeda seperti yang ditentukan sebelumnya.
Peran yang diperlukan
Untuk mendapatkan izin yang Anda perlukan untuk menggunakan penganalisis pelanggaran, minta administrator untuk memberi Anda peran IAM berikut:
-
Untuk mendiagnosis peristiwa penolakan akses menggunakan penganalisis pelanggaran:
Access Context Manager Reader (
roles/accesscontextmanager.policyReader) di kebijakan akses tingkat organisasi Anda -
Untuk mengambil token pemecahan masalah dari Cloud Audit Logs:
Logs Viewer (
roles/logging.viewer) di project yang memiliki log audit Kontrol Layanan VPC
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk menggunakan penganalisis pelanggaran. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menggunakan penganalisis pelanggaran:
-
Untuk mendiagnosis peristiwa penolakan akses menggunakan penganalisis pelanggaran:
-
accesscontextmanager.accessLevels.listpada kebijakan akses tingkat organisasi Anda -
accesscontextmanager.policies.getpada kebijakan akses tingkat organisasi Anda -
accesscontextmanager.servicePerimeters.listpada kebijakan akses tingkat organisasi Anda
-
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Memecahkan masalah peristiwa penolakan akses
Saat menolak permintaan akses, Kontrol Layanan VPC akan membuat ID unik dan mencatat token pemecahan masalah terenkripsi di Cloud Audit Logs. Saat Anda menggunakan Google Cloud CLI, Kontrol Layanan VPC akan menampilkan ID unik peristiwa penolakan akses dalam error. Setelah peristiwa penolakan akses, Anda dapat menelusuri dan menemukan token pemecahan masalah di Cloud Audit Logs menggunakan ID unik.
Anda memerlukan token pemecahan masalah untuk mendiagnosis peristiwa penolakan akses menggunakan penganalisis pelanggaran.
Mendapatkan token pemecahan masalah
Di Konsol Google Cloud, buka halaman Logs Explorer.
Di halaman Logs Explorer, pilih cakupan project tempat peristiwa penolakan akses berada.
Gunakan filter log untuk menemukan entri log peristiwa penolakan akses.
Anda juga dapat menggunakan ID unik untuk melihat entri log. Untuk menelusuri dan menampilkan log audit menggunakan ID unik, masukkan kueri berikut ke kolom editor kueri:
log_id("cloudaudit.googleapis.com/policy") severity=ERROR resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID"Ganti
UNIQUE_IDdengan ID unik peristiwa penolakan akses.Klik Run query. Kueri ini menampilkan log audit Kontrol Layanan VPC untuk peristiwa penolakan akses.
Untuk meluaskan log audit, di panel Query results, klik panah peluas .
Luaskan bagian metadata protoPayload > dalam entri log.
Salin nilai
vpcServiceControlsTroubleshootTokendari entri log.
Memecahkan masalah menggunakan token
Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.
Jika diminta, pilih organisasi Anda. Anda hanya dapat mengakses halaman Kontrol Layanan VPC di tingkat organisasi.
Di halaman Kontrol Layanan VPC, klik Pemecahan Masalah.
Di halaman Pemecahan masalah pelanggaran, di kolom Token pemecahan masalah (atau ID unik), masukkan token pemecahan masalah peristiwa penolakan akses.
Klik Lanjutkan.
Penganalisis pelanggaran mengevaluasi log audit peristiwa penolakan akses dan menampilkan hasil pemecahan masalah.
Memahami hasil pemecahan masalah
Sebelum membaca hasil pemecahan masalah peristiwa penolakan akses, pastikan Anda merujuk pada pertimbangan berikut.
Penyamaran informasi sensitif
Untuk melindungi data sensitif, penganalisis pelanggaran menyamarkan informasi berikut dalam hasil pemecahan masalah:
Alamat IP: Jika permintaan akses berasal dari Google Cloud layanan di dalam jaringan produksi internal, penganalisis pelanggaran akan menyamarkan alamat IP permintaan akses sebagai
private.Informasi jaringan: Penganalisis pelanggaran menyamarkan informasi jaringan permintaan akses sebagai
redacted_network, kecuali dalam skenario berikut:Jika Anda berasal dari organisasi yang sama dengan jaringan.
Jika Anda memiliki izin yang diperlukan untuk melihat informasi jaringan.
Prinsipal: Analis pelanggaran menyamarkan alamat email akun utama dengan
...(misalnya,cl...o@gm...m), kecuali dalam skenario berikut:Jika Anda berasal dari organisasi yang sama dengan akun utama yang ditolak aksesnya.
Jika akun utama yang ditolak aksesnya adalah agen layanan atau akun layanan.
Beberapa Google Cloud layanan tidak mengumpulkan informasi identitas. Misalnya, App Engine API lama tidak mengumpulkan identitas pemanggil. Saat penganalisis pelanggaran mengamati bahwa informasi akun utama tidak ada dalam log, hasil pemecahan masalah akan menampilkan akun utama sebagai
no information available.
Status evaluasi
Penganalisis pelanggaran mengevaluasi peristiwa penolakan akses terhadap semua komponen perimeter dan menetapkan status evaluasi untuk setiap komponen.
Penganalisis pelanggaran mungkin menampilkan status evaluasi berikut dalam hasil pemecahan masalah:
| Status | Deskripsi |
|---|---|
| Diberikan | Status ini menunjukkan bahwa komponen perimeter mengizinkan permintaan akses yang dievaluasi. |
| Ditolak | Status ini menunjukkan bahwa komponen perimeter menolak permintaan akses yang dievaluasi. |
| Tidak berlaku | Status ini menunjukkan bahwa komponen perimeter tidak membatasi resource atau layanan dari permintaan akses yang dievaluasi atau tidak menerapkan fitur layanan yang dapat diakses VPC. |
Melihat hasil pemecahan masalah
Halaman hasil pemecahan masalah memberikan penilaian mendetail tentang peristiwa penolakan akses. Hasil ini menampilkan penilaian peristiwa pada titik waktu tertentu saat Anda meminta penganalisis pelanggaran untuk mendiagnosis peristiwa. Halaman hasil pemecahan masalah mengategorikan informasi penilaian dalam berbagai bagian.
Hasil pemecahan masalah peristiwa penolakan akses dapat memiliki bagian berikut:
Detail pelanggaran
Evaluasi pelanggaran
Resource yang dibatasi
Layanan yang dibatasi
Masuk
Keluar
Layanan yang dapat diakses VPC
Untuk melihat penilaian komponen perimeter tertentu, pilih komponen perimeter dari daftar atau klik panah peluas di samping komponen perimeter. Misalnya, untuk melihat penilaian pemecahan masalah untuk aturan traffic keluar, pilih aturan traffic keluar atau klik panah peluas di samping aturan traffic keluar.
Detail pelanggaran
Bagian Detail pelanggaran mencantumkan informasi berikut tentang peristiwa penolakan akses:
Waktu peristiwa penolakan akses.
Identitas akun utama yang meminta akses.
Layanan yang aksesnya diminta oleh akun utama.
Metode layanan yang aksesnya diminta oleh akun utama.
Alamat IP akun utama yang meminta akses. Alamat IP ini sama dengan nilai
caller_ipdari entri log peristiwa penolakan akses di Cloud Audit Logs. Untuk mengetahui informasi selengkapnya, lihat Alamat IP pemanggil dalam log audit.Token pemecahan masalah peristiwa penolakan akses.
Detail perangkat dan wilayah yang terlibat. Untuk melihat informasi ini, klik Lihat detail tambahan.
Evaluasi pelanggaran
Bagian Evaluasi pelanggaran menunjukkan penilaian keseluruhan terhadap peristiwa penolakan akses. Penilaian ini mencakup hasil pemecahan masalah perimeter dalam mode penerapan dan uji coba.
Hasil pemecahan masalah untuk peristiwa penolakan akses dapat bervariasi dari waktu ke waktu jika ada perubahan pada perimeter layanan atau kebijakan akses setelah VPC Service Controls mencatat peristiwa penolakan akses. Perilaku ini disebabkan oleh fakta bahwa penganalisis pelanggaran mengambil informasi terbaru dari perimeter layanan dan kebijakan akses yang relevan untuk penilaian.
Hasil
Bagian Hasil menampilkan penilaian peristiwa penolakan akses terhadap semua
perimeter yang terlibat. Nilainya dapat berupa Granted, Denied, atau Not applicable.
Resource yang dilindungi diakses
Bagian Resource terlindungi yang diakses mencantumkan perimeter dengan status evaluasi yang sesuai terhadap peristiwa penolakan akses. Di bagian ini, Anda dapat melihat informasi berikut:
Daftar semua resource yang terlibat dalam peristiwa penolakan akses ini:
Kolom Resource yang diakses menampilkan semua resource yang terlibat dan dilindungi oleh perimeter.
Jika Anda tidak memiliki izin yang memadai untuk melihat resource yang dibatasi, bagian Protected resources accessed tidak mencantumkan nama perimeter dan kolom Resources accessed menampilkan project yang terlibat dengan ikon peringatan.
Bagian Resource lain yang diakses mencantumkan semua resource lain yang terlibat, yang dikelompokkan dalam salah satu status berikut:
Negara bagian/Provinsi Deskripsi Tidak dibatasi Status ini menunjukkan bahwa resource tidak dilindungi oleh perimeter layanan apa pun. Info ditolak Status ini menunjukkan bahwa Anda tidak memiliki izin yang memadai untuk melihat perimeter layanan yang melindungi resource. Error Status ini menunjukkan bahwa error internal telah terjadi saat mencoba melihat perimeter layanan yang melindungi resource.
Saat memilih perimeter dari daftar, Anda dapat melihat hasil pemecahan masalah untuk peristiwa penolakan akses terhadap perimeter yang dipilih.
Anda juga dapat melihat hasil pemecahan masalah untuk berbagai mode penerapan perimeter. Secara default, halaman hasil pemecahan masalah menampilkan hasil pemecahan masalah mode Diberlakukan. Jika Anda ingin melihat hasil pemecahan masalah mode uji coba, klik Uji coba. Untuk mengetahui informasi selengkapnya tentang mode penerapan perimeter, lihat Detail dan konfigurasi perimeter layanan.
Karena konfigurasi mode diterapkan dan mode uji coba perimeter dapat berbeda, penganalisis pelanggaran dapat menghasilkan hasil pemecahan masalah yang berbeda untuk konfigurasi mode diterapkan dan mode uji coba.
Resource yang dibatasi
Secara default, bagian Resource yang dibatasi hanya menampilkan resource yang terlibat dalam pelanggaran ini dan dilindungi oleh perimeter yang dipilih. Untuk melihat resource lain yang dilindungi oleh perimeter yang dipilih, klik Lihat resource terbatas lainnya.
Layanan yang dibatasi
Secara default, bagian Layanan yang dibatasi hanya menampilkan layanan yang terlibat dalam pelanggaran ini dan dilindungi oleh perimeter yang dipilih. Untuk melihat layanan lain yang dilindungi oleh perimeter yang dipilih, klik Lihat layanan terbatas lainnya.
Masuk
Bagian Ingress menunjukkan penilaian peristiwa penolakan akses terhadap semua aturan dan tingkat akses masuk yang terlibat. Untuk setiap permintaan akses, analis pelanggaran mengevaluasi agen atau jaringan layanan dan resource target yang sesuai dengan aturan dan tingkat akses ingress.
Penganalisis pelanggaran mengelompokkan dan menampilkan informasi penilaian aturan masuk berdasarkan aturan masuk dan tingkat akses. Anda dapat mengklik setiap aturan atau tingkat akses di bagian ini dan penganalisis pelanggaran akan membuka bagian yang dapat diluaskan yang menampilkan nama resource target yang dinilai berdasarkan aturan atau tingkat akses masuk yang dipilih.
Keluar
Bagian Egress menampilkan penilaian peristiwa penolakan akses terhadap semua aturan traffic keluar yang terlibat. Penganalisis pelanggaran mengevaluasi pasangan resource sumber dan target dari permintaan akses terhadap aturan keluar.
Penganalisis pelanggaran mengelompokkan dan menampilkan informasi penilaian aturan keluar berdasarkan aturan keluar. Anda dapat mengklik setiap aturan di bagian ini dan analisator pelanggaran akan membuka bagian yang dapat diluaskan yang menampilkan penilaian mendetail tentang resource terhadap aturan keluar yang dipilih.
Layanan yang dapat diakses VPC
Bagian Layanan yang dapat diakses VPC menampilkan status layanan yang dapat diakses dari endpoint jaringan di dalam perimeter. Status ini
sesuai dengan waktu terjadinya peristiwa penolakan akses. Jika status
penilaian untuk layanan adalah Denied, Anda tidak dapat mengakses layanan dari endpoint
jaringan di dalam perimeter.
Untuk mengetahui informasi selengkapnya, lihat Layanan yang dapat diakses VPC.
Membandingkan hasil mode penerapan dan uji coba
Anda dapat membandingkan hasil pemecahan masalah peristiwa penolakan akses antara mode penerapan dan uji coba perimeter yang dipilih. Untuk membandingkan hasil pemecahan masalah, klik Bandingkan dengan uji coba di halaman hasil pemecahan masalah mode yang diterapkan pada perimeter.
Jika mode uji coba mewarisi konfigurasi dari mode perimeter yang diterapkan, mode uji coba juga akan mewarisi hasil pemecahan masalah mode yang diterapkan.
Batasan
Anda hanya boleh menggunakan penganalisis pelanggaran di cakupan organisasi, dan penganalisis pelanggaran tidak dapat diakses di cakupan project.
Penganalisis pelanggaran mengambil informasi terbaru dari perimeter layanan dan kebijakan akses yang relevan untuk penilaian. Jadi, hasil pemecahan masalah untuk peristiwa penolakan akses dapat bervariasi dari waktu ke waktu jika ada perubahan pada perimeter layanan atau kebijakan akses setelah Kontrol Layanan VPC mencatat peristiwa penolakan akses.
- Selain itu, jika Anda mendiagnosis peristiwa penolakan akses beberapa kali, hasil pemecahan masalah mungkin bervariasi untuk setiap diagnosis jika kebijakan akses telah berubah.
Hasil pemecahan masalah peristiwa penolakan akses mungkin berbeda dalam skenario berikut:
Saat Anda telah menentukan tingkat akses dalam kebijakan cakupan dan menggunakan tingkat akses di perimeter layanan.
Jika Anda telah menentukan kondisi berbasis jaringan VPC dan alamat IP internal di tingkat akses dan menggunakan tingkat akses di perimeter layanan Anda.
Jika Anda telah menentukan kondisi berbasis atribut perangkat di tingkat akses dan menggunakan tingkat akses di perimeter layanan, tetapi Anda tidak memiliki izin yang diperlukan untuk melihat detail perangkat.
Saat aturan traffic masuk atau keluar dari perimeter layanan menggunakan grup identitas atau identitas pihak ketiga.
Jika aturan traffic keluar dari perimeter layanan menggunakan atribut
sources.Jika permintaan akses tidak berisi resource apa pun.
Saat Anda telah mengonfigurasi kebijakan kekuatan kredensial di tingkat akses.
Saat aturan traffic masuk atau keluar perimeter layanan menggunakan izin layanan sebagai kondisi operasi API.
Langkah berikutnya
- Mendiagnosis masalah menggunakan pemecah masalah Kontrol Layanan VPC
- Untuk mengetahui informasi tentang alasan penolakan akses, lihat Men-debug permintaan yang diblokir oleh Kontrol Layanan VPC.