VPC 서비스 제어 위반 분석 도구를 사용하여 액세스 거부 이벤트 진단

이 페이지에서는 VPC 서비스 제어 위반 분석 도구를 사용하여 조직의 서비스 경계에서 발생한 액세스 거부를 이해하고 진단하는 방법을 설명합니다.

VPC 서비스 제어는 액세스 요청을 거부할 때 문제 해결 토큰을 생성합니다. 위반 분석기를 사용하면 이 문제 해결 토큰을 사용하여 액세스 거부를 진단할 수 있습니다. 이 문제 해결 토큰은 Cloud 감사 로그에서 확인할 수 있습니다. VPC 서비스 제어는 문제 해결 토큰을 비롯하여 액세스 거부 이벤트에 관한 모든 정보를 Cloud 감사 로그에 로깅합니다.

위반 분석 도구를 사용하여 서비스 경계의 테스트 실행 구성에서 액세스 거부를 진단할 수도 있습니다.

VPC 서비스 제어 문제 해결 도구를 사용하여 액세스 거부를 진단하는 방법에 관한 자세한 내용은 VPC 서비스 제어 문제 해결 도구를 사용하여 문제 진단을 참고하세요.

시작하기 전에

  • Enable the Policy Troubleshooter API.

    Enable the API

  • 액세스 수준의 기기 정책을 이해하고 기기 컨텍스트 세부정보를 검색하려면 Google Workspace에서 기기 세부정보를 볼 수 있는 필요한 권한이 있는지 확인하세요. 이러한 권한이 없으면 기기 속성 기반 조건이 있는 액세스 수준과 관련된 거부 이벤트를 해결하는 경우 문제 해결 결과가 달라질 수 있습니다.

    이러한 권한을 얻으려면 다음 Google Workspace 역할 중 하나를 보유하고 있어야 합니다.

    역할 할당에 관한 자세한 내용은 특정 관리자 역할 할당하기를 참고하세요.

    Google Workspace에서는 이러한 권한 없이도 위반 분석 도구를 사용할 수 있습니다. 그러나 앞서 설명한 대로 문제 해결 결과는 다를 수 있습니다.

필요한 역할

위반 분석 도구를 사용하는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.

  • 위반 분석 도구를 사용하여 액세스 거부 이벤트를 진단하려면 다음 단계를 따르세요. Access Context Manager 리더 (roles/accesscontextmanager.policyReader): 조직 수준 액세스 정책
  • Cloud 감사 로그에서 문제 해결 토큰을 가져오려면 다음 단계를 따르세요. VPC 서비스 제어 감사 로그가 있는 프로젝트의 로그 뷰어 (roles/logging.viewer)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 위반 분석 도구를 사용하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

위반 분석 도구를 사용하려면 다음 권한이 필요합니다.

  • 위반 분석 도구를 사용하여 액세스 거부 이벤트를 진단하려면 다음 단계를 따르세요.
    • accesscontextmanager.accessLevels.list 조직 수준 액세스 정책
    • accesscontextmanager.policies.get 조직 수준 액세스 정책
    • accesscontextmanager.servicePerimeters.list 조직 수준 액세스 정책

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

액세스 거부 이벤트 문제 해결

VPC 서비스 제어에서 액세스 요청을 거부하면 VPC 서비스 제어는 고유 ID를 생성하고 Cloud 감사 로그에 암호화된 문제 해결 토큰을 로깅합니다. Google Cloud CLI를 사용하면 VPC 서비스 제어는 오류에서 액세스 거부 이벤트의 고유 ID를 반환합니다. 액세스 거부 이벤트 후에는 고유 ID를 사용하여 Cloud 감사 로그에서 문제 해결 토큰을 검색하고 찾을 수 있습니다.

위반 분석 도구를 사용하여 액세스 거부 이벤트를 진단하려면 문제 해결 토큰이 필요합니다.

문제 해결 토큰 가져오기

  1. Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

  2. 로그 탐색기 페이지에서 액세스 거부 이벤트가 속한 프로젝트 범위를 선택합니다.

  3. 로그 필터를 사용하여 액세스 거부 이벤트의 로그 항목을 찾습니다.

    고유 ID를 사용하여 로그 항목을 볼 수도 있습니다. 고유 ID를 사용하여 감사 로그를 검색하고 표시하려면 쿼리 편집기 필드에 다음 쿼리를 입력합니다.

    log_id("cloudaudit.googleapis.com/policy")
severity=ERROR
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID"

    UNIQUE_ID를 액세스 거부 이벤트의 고유 ID로 바꿉니다.

  4. 쿼리 실행을 클릭합니다. 이 쿼리는 액세스 거부 이벤트에 대한 VPC 서비스 제어 감사 로그를 표시합니다.

  5. 감사 로그를 펼치려면 쿼리 결과 창에서 확장 화살표를 클릭합니다.

  6. 로그 항목에서 protoPayload > metadata 섹션을 펼칩니다.

  7. 로그 항목에서 vpcServiceControlsTroubleshootToken 값을 복사합니다.

토큰을 사용한 문제 해결

  1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

    VPC 서비스 제어로 이동

    메시지가 표시되면 조직을 선택합니다. 조직 수준에서만 VPC 서비스 제어 페이지에 액세스할 수 있습니다.

  2. VPC 서비스 제어 페이지에서 문제 해결을 클릭합니다.

  3. 위반 문제 해결 페이지의 문제 해결 토큰 (또는 고유 ID) 필드에 액세스 거부 이벤트의 문제 해결 토큰을 입력합니다.

  4. 계속을 클릭합니다.

위반 분석기는 액세스 거부 이벤트의 감사 로그를 평가하고 문제 해결 결과를 표시합니다.

문제 해결 결과 이해하기

액세스 거부 이벤트의 문제 해결 결과를 읽기 전에 다음 고려사항을 참고하세요.

민감한 정보 삭제

민감한 정보를 보호하기 위해 위반 분석기는 문제 해결 결과에서 다음 정보를 수정합니다.

  • IP 주소: 액세스 요청이 내부 프로덕션 네트워크 내의 Google Cloud 서비스에서 발생하면 위반 분석기에서 액세스 요청의 IP 주소를 private로 수정합니다.

  • 네트워크 정보: 위반 분석기는 다음 시나리오를 제외하고 액세스 요청의 네트워크 정보를 redacted_network로 삭제합니다.

    • 네트워크와 같은 조직에 속해 있는 경우

    • 네트워크 정보를 보는 데 필요한 권한이 있는 경우

  • 주 구성원: 위반 분석 도구는 다음 시나리오를 제외하고 주 구성원의 이메일 주소를 ... (예: cl...o@gm...m)로 삭제합니다.

    • 액세스가 거부된 주 구성원과 같은 조직에 속하는 경우

    • 액세스가 거부된 주 구성원이 서비스 에이전트 또는 서비스 계정인 경우

    일부 Google Cloud 서비스는 ID 정보를 수집하지 않습니다. 예를 들어 기존 App Engine API는 호출자 ID를 수집하지 않습니다. 위반 분석기에서 로그에 주 구성원 정보가 누락된 것으로 확인되면 문제 해결 결과에 주 구성원이 no information available로 표시됩니다.

평가 상태

위반 분석기는 모든 경계 구성요소에 대해 액세스 거부 이벤트를 평가하고 각 구성요소에 평가 상태를 할당합니다.

위반 분석 도구는 문제 해결 결과에 다음과 같은 평가 상태를 표시할 수 있습니다.

상태 설명
승인됨 이 상태는 경계 구성요소가 평가된 액세스 요청을 허용함을 나타냅니다.
거부됨 이 상태는 경계 구성요소가 평가된 액세스 요청을 거부했음을 나타냅니다.
해당 없음 이 상태는 경계 구성요소가 평가된 액세스 요청에서 리소스 또는 서비스를 제한하지 않거나 VPC 액세스 가능 서비스 기능을 적용하지 않음을 나타냅니다.

문제 해결 결과 보기

문제 해결 결과 페이지에는 액세스 거부 이벤트에 대한 자세한 평가가 표시됩니다. 이 결과는 위반 분석 도구에 이벤트 진단을 요청한 특정 시점의 이벤트 평가를 나타냅니다. 문제 해결 결과 페이지에서는 평가 정보를 여러 섹션으로 분류합니다.

액세스 거부 이벤트의 문제 해결 결과에는 다음 섹션이 포함될 수 있습니다.

  • 위반사항 세부정보

  • 위반 평가

  • 제한된 리소스

  • 제한된 서비스

  • 인그레스

  • 이그레스

  • VPC 액세스 가능 서비스

특정 경계 구성요소의 평가를 보려면 목록에서 경계 구성요소를 선택하거나 경계 구성요소 옆에 있는 확장 화살표를 클릭합니다. 예를 들어 이그레스 규칙의 문제 해결 평가를 보려면 이그레스 규칙을 선택하거나 이그레스 규칙 옆에 있는 펼치기 화살표를 클릭합니다.

위반사항 세부정보

위반 세부정보 섹션에는 액세스 거부 이벤트에 관한 다음 정보가 표시됩니다.

  • 액세스 거부 이벤트의 시간입니다.

  • 액세스를 요청한 주 구성원의 ID입니다.

  • 주 구성원이 액세스를 요청한 서비스입니다.

  • 주 구성원이 액세스를 요청한 서비스 메서드입니다.

  • 액세스를 요청한 주 구성원의 IP 주소입니다. 이 IP 주소는 Cloud 감사 로그의 액세스 거부 이벤트 로그 항목의 caller_ip 값과 동일합니다. 자세한 내용은 감사 로그의 호출자 IP 주소를 참고하세요.

  • 액세스 거부 이벤트의 문제 해결 토큰입니다.

  • 관련 기기 및 지역의 세부정보 이 정보를 보려면 추가 세부정보 보기를 클릭합니다.

위반 평가

위반 평가 섹션에는 액세스 거부 이벤트에 대한 전반적인 평가가 표시됩니다. 평가에는 경계의 시행 모드 및 테스트 실행 모드 문제 해결 결과가 모두 포함됩니다.

VPC 서비스 제어에서 액세스 거부 이벤트를 기록한 후 서비스 경계 또는 액세스 정책이 변경되면 액세스 거부 이벤트의 문제 해결 결과가 시간이 지남에 따라 달라질 수 있습니다. 이는 위반 분석 도구가 평가를 위해 관련 서비스 경계 및 액세스 정책에서 최신 정보를 가져오기 때문입니다.

결과

결과 섹션에는 관련된 모든 경계에서 액세스 거부 이벤트에 대한 평가가 표시됩니다. 값은 Granted, Denied, Not applicable일 수 있습니다.

액세스된 보호되는 리소스

액세스 거부 이벤트에 대해 평가 상태가 일치하는 보호된 리소스에 액세스함 섹션에는 경계와 액세스 거부 이벤트에 대한 평가 상태가 표시됩니다. 이 섹션에서는 다음 정보를 확인할 수 있습니다.

  • 이 액세스 거부 이벤트와 관련된 모든 리소스의 목록:

    • 액세스된 리소스 열에는 경계로 보호되는 관련 리소스가 모두 표시됩니다.

    • 제한된 리소스를 볼 권한이 충분하지 않으면 액세스한 보호된 리소스 섹션에 경계 이름이 표시되지 않고 액세스한 리소스 열에 관련 프로젝트가 경고 아이콘과 함께 표시됩니다.

    • 액세스된 기타 리소스 섹션에는 관련된 다른 모든 리소스가 다음 상태 중 하나로 그룹화되어 나열됩니다.

      설명
      무제한 이 상태는 리소스가 서비스 경계로 보호되지 않음을 나타냅니다.
      정보 거부됨 이 상태는 리소스를 보호하는 서비스 경계를 볼 권한이 충분하지 않음을 나타냅니다.
      오류 이 상태는 리소스를 보호하는 서비스 경계를 확인하는 중에 내부 오류가 발생했음을 나타냅니다.

  • 목록에서 경계를 선택하면 선택한 경계의 액세스 거부 이벤트에 대한 문제 해결 결과를 볼 수 있습니다.

  • 경계의 다양한 시정 조치 모드에 대한 문제 해결 결과도 확인할 수 있습니다. 기본적으로 문제 해결 결과 페이지에는 시행 모드 문제 해결 결과가 표시됩니다. 테스트 실행 모드 문제 해결 결과를 보려면 테스트 실행을 클릭합니다. 경계 시행 모드에 관한 자세한 내용은 서비스 경계 세부정보 및 구성을 참고하세요.

    경계의 시행 모드 구성과 테스트 실행 모드 구성은 다를 수 있으므로 위반 분석기에서 시행 모드 구성과 테스트 실행 모드 구성에 대해 서로 다른 문제 해결 결과를 생성할 수 있습니다.

제한된 리소스

기본적으로 제한된 리소스 섹션에는 이 위반과 관련이 있고 선택한 경계로 보호되는 리소스만 표시됩니다. 선택한 경계로 보호되는 기타 리소스를 보려면 제한된 기타 리소스 보기를 클릭합니다.

제한된 서비스

기본적으로 제한된 서비스 섹션에는 이 위반과 관련이 있고 선택한 경계로 보호되는 서비스만 표시됩니다. 선택한 경계로 보호되는 다른 서비스를 보려면 제한된 다른 서비스 보기를 클릭합니다.

인그레스

인그레스 섹션에는 관련된 모든 인그레스 규칙 및 액세스 수준에 대한 액세스 거부 이벤트의 평가가 표시됩니다. 위반 분석기는 각 액세스 요청에 대해 서비스 에이전트 또는 네트워크와 해당 타겟 리소스를 인그레스 규칙 및 액세스 수준에 대해 평가합니다.

위반 분석기는 인그레스 규칙 및 액세스 수준에 따라 인그레스 규칙 평가 정보를 그룹화하고 표시합니다. 이 섹션에서 각 규칙 또는 액세스 수준을 클릭하면 위반 분석기에서 선택한 인그레스 규칙 또는 액세스 수준에 대해 평가된 대상 리소스 이름을 표시하는 확장 가능한 섹션이 열립니다.

이그레스

이그레스 섹션에는 관련된 모든 이그레스 규칙에 대한 액세스 거부 이벤트의 평가가 표시됩니다. 위반 분석기는 액세스 요청의 소스 및 타겟 리소스 쌍을 이그레스 규칙과 비교하여 평가합니다.

위반 분석기는 이그레스 규칙을 기반으로 이그레스 규칙 평가 정보를 그룹화하고 표시합니다. 이 섹션에서 각 규칙을 클릭하면 위반 분석기에서 선택한 이그레스 규칙에 대한 리소스의 세부 평가를 표시하는 확장 가능한 섹션이 열립니다.

VPC 액세스 가능 서비스

VPC 액세스 가능 서비스 섹션에는 경계 내의 네트워크 엔드포인트에서 액세스할 수 있는 서비스의 상태가 표시됩니다. 이러한 상태는 액세스 거부 이벤트가 발생한 시간에 해당합니다. 서비스의 평가 상태가 Denied이면 경계 내의 네트워크 엔드포인트에서 서비스에 액세스할 수 없습니다.

자세한 내용은 VPC 액세스 가능 서비스를 참고하세요.

적용된 구성 및 테스트 실행 모드 결과 비교

선택한 경계의 시행 모드와 테스트 실행 모드 간에 액세스 거부 이벤트의 문제 해결 결과를 비교할 수 있습니다. 문제 해결 결과를 비교하려면 경계의 강제 모드 문제 해결 결과 페이지에서 테스트 실행과 비교를 클릭합니다.

테스트 실행 모드가 경계의 시행 모드에서 구성을 상속하는 경우 테스트 실행 모드는 시행 모드 문제 해결 결과도 상속합니다.

제한사항

  • 위반 분석기는 조직 범위에서만 사용해야 하며 프로젝트 범위에서는 액세스할 수 없습니다.

  • 위반 분석기는 평가를 위해 관련 서비스 경계 및 액세스 정책에서 최신 정보를 가져옵니다. 따라서 VPC 서비스 제어에서 액세스 거부 이벤트를 기록한 후 서비스 경계 또는 액세스 정책이 변경되면 액세스 거부 이벤트의 문제 해결 결과가 시간이 지남에 따라 달라질 수 있습니다.

    • 또한 액세스 거부 이벤트를 여러 번 진단하는 경우 액세스 정책이 변경된 경우 진단마다 문제 해결 결과가 다를 수 있습니다.

  • 액세스 거부 이벤트의 문제 해결 결과는 다음 시나리오에서 다를 수 있습니다.

다음 단계