Esta página foi traduzida pela API Cloud Translation.

Diagnosticar um evento de negação de acesso usando o analisador de violações do VPC Service Controls

Esta página descreve como usar o analisador de violações do VPC Service Controls para entender e diagnosticar negações de acesso de perímetros de serviço na sua organização.

O VPC Service Controls gera um token de solução de problemas quando ele nega uma solicitação de acesso. O analisador de violação permite diagnosticar a negação de acesso usando esse token de solução de problemas. Esse token de solução de problemas pode ser encontrado nos registros de auditoria do Cloud. O VPC Service Controls registra todas as informações sobre um evento de negação de acesso nos registros de auditoria do Cloud, incluindo o token de solução de problemas.

Também é possível usar o analisador de violações para diagnosticar negações de acesso na configuração de simulação de um perímetro de serviço.

Para informações sobre como diagnosticar negações de acesso usando o solucionador de problemas do VPC Service Controls, consulte Como diagnosticar problemas usando o solucionador de problemas do VPC Service Controls.

Antes de começar

Enable the Policy Troubleshooter API.
Enable the API
Para entender as políticas de dispositivo em um nível de acesso e extrair os detalhes do contexto do dispositivo, verifique se você tem as permissões necessárias no Google Workspace para visualizar os detalhes do dispositivo. Sem essas permissões, se você resolver um evento de negação envolvendo um nível de acesso com condições baseadas em atributo do dispositivo, o resultado da solução de problemas pode ser diferente.

Para ter essas permissões, verifique se você tem um dos seguintes papéis do Google Workspace:
- Função de superadministrador, administrador de serviços ou administrador de dispositivos móveis.
- Uma função de administrador personalizada que contém o privilégio Gerenciar dispositivos e configurações. Esse privilégio está disponível em Serviços > Gerenciamento de dispositivos móveis.
Para mais informações sobre a atribuição de funções, consulte Atribuir funções administrativas específicas.

Você pode usar o Analisador de violações sem essas permissões no Google Workspace. No entanto, o resultado da solução de problemas pode ser diferente, conforme especificado anteriormente.

Funções exigidas

Para receber as permissões necessárias para usar o analisador de violações, peça ao administrador para conceder a você os seguintes papéis do IAM:

Para diagnosticar um evento de negação de acesso usando o analisador de violações: Leitor do Access Context Manager (roles/accesscontextmanager.policyReader) na política de acesso no nível da organização
Para buscar o token de solução de problemas nos registros de auditoria do Cloud: Visualizador de registros (roles/logging.viewer) nos projetos que têm registros de auditoria do VPC Service Controls

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para usar o Analisador de violações. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para usar o analisador de violações:

Para diagnosticar um evento de negação de acesso usando o analisador de violação:
- accesscontextmanager.accessLevels.list na política de acesso da sua organização
- accesscontextmanager.policies.get na política de acesso da sua organização
- accesscontextmanager.servicePerimeters.list na política de acesso da sua organização

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Resolver problemas de um evento de negação de acesso

Quando o VPC Service Controls nega uma solicitação de acesso, ele gera um ID exclusivo e registra um token de solução de problemas criptografado nos Registros de auditoria do Cloud. Quando você usa a CLI do Google Cloud, o VPC Service Controls retorna o ID exclusivo de um evento de negação de acesso no erro. Após o evento de negação de acesso, é possível pesquisar e encontrar o token de solução de problemas nos registros de auditoria do Cloud usando o ID exclusivo.

Você precisa do token de solução de problemas para diagnosticar um evento de negação de acesso usando o analisador de violações.

Acessar o token de solução de problemas

No console do Google Cloud, acesse a página do Explorador de registros.

Acessar o Explorador de registros
Na página Análise de registros, selecione o escopo do projeto ao qual o evento de negação de acesso pertence.
Use os filtros de registro para encontrar a entrada de registro do evento de negação de acesso.

Também é possível usar o ID exclusivo para conferir a entrada de registro. Para pesquisar e mostrar registros de auditoria usando o ID exclusivo, insira a seguinte consulta no campo do editor de consultas:
```
log_id("cloudaudit.googleapis.com/policy")
severity=ERROR
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID"
```
Substitua UNIQUE_ID pelo ID exclusivo do evento de negação de acesso.
Clique em Executar consulta. Essa consulta mostra os registros de auditoria do VPC Service Controls para o evento de negação de acesso.
Para expandir os registros de auditoria, no painel Resultados da consulta, clique na seta de expansão .
Abra a seção protoPayload > metadata na entrada de registro.
Copie o valor vpcServiceControlsTroubleshootToken da entrada de registro.

Resolver problemas usando o token

No console do Google Cloud, acesse a página VPC Service Controls.

Acessar o VPC Service Controls

Se solicitado, selecione a organização. Só é possível acessar a página VPC Service Controls no nível da organização.
Na página VPC Service Controls, clique em Resolver problemas.
Na página Solucionar violação, no campo Solucionar problemas de token (ou ID exclusivo), insira o token de solução de problemas do evento de negação de acesso.

Observação: se você quiser usar o assistente de solução de problemas para diagnosticar o evento de negação de acesso, insira o ID exclusivo do evento no campo Solução de problemas de token (ou ID exclusivo).
Clique em Continuar.

O analisador de violações avalia os registros de auditoria do evento de negação de acesso e exibe o resultado da solução de problemas.

Entender o resultado da solução de problemas

Antes de ler o resultado da solução de problemas de um evento de negação de acesso, consulte as seguintes considerações.

Ocultar informações sensíveis

Para proteger dados sensíveis, o analisador de violações oculta as seguintes informações no resultado da solução de problemas:

Endereço IP:quando uma solicitação de acesso é originada de um Google Cloud serviço em uma rede de produção interna, o analisador de violações oculta o endereço IP da solicitação de acesso como private.
Informações de rede:o analisador de violações oculta as informações de rede da solicitação de acesso como redacted_network, exceto nos seguintes cenários:
- Quando você faz parte da mesma organização da rede.
- Quando você tem a permissão necessária para acessar as informações de rede.
Princípio:o analisador de violação oculta o endereço de e-mail de um participante com ... (por exemplo, cl...o@gm...m), exceto nos seguintes cenários:
- Quando você faz parte da mesma organização do principal com acesso negado.
- Quando o principal com acesso negado é um agente de serviço ou uma conta de serviço.
Alguns Google Cloud serviços não coletam informações de identidade. Por exemplo, a API App Engine legada não coleta as identidades do autor da chamada. Quando o analisador de violação observa que as informações principais estão ausentes nos registros, o resultado da solução de problemas mostra o principal como no information available.

Status da avaliação

O analisador de violação avalia um evento de negação de acesso em todos os componentes do perímetro e atribui um status de avaliação a cada componente.

O analisador de violações pode mostrar os seguintes status de avaliação no resultado da solução de problemas:

Status	Descrição
Concedido	Esse status indica que o componente de perímetro permite a solicitação de acesso avaliada.
Negado	Esse status indica que o componente de perímetro nega a solicitação de acesso avaliada.
Não relevante	Esse status indica que o componente de perímetro não restringe o recurso ou serviço da solicitação de acesso avaliada ou não impõe o recurso de serviços acessíveis pela VPC.

Conferir o resultado da solução de problemas

A página de resultados da solução de problemas fornece uma avaliação detalhada de um evento de negação de acesso. Esse resultado apresenta a avaliação do evento no momento específico em que você solicitou que o analisador de violação diagnosticasse o evento. A página de resultados de solução de problemas categoriza as informações de avaliação em diferentes seções.

O resultado da solução de problemas de um evento de negação de acesso pode ter as seguintes seções:

Detalhes da violação
Avaliação da violação
Recursos restritos
Serviços restritos
Entrada
Saída
Serviços acessíveis pelo VPC

Para conferir a avaliação de um componente de perímetro específico, selecione-o na lista ou clique na seta de expansão ao lado dele. Por exemplo, para conferir a avaliação de solução de problemas de uma regra de saída, selecione a regra de saída ou clique na seta de expansão ao lado dela.

Detalhes da violação

A seção Detalhes da violação lista as seguintes informações sobre o evento de negação de acesso:

A hora do evento de negação de acesso.
A identidade do principal que solicitou o acesso.
O serviço para o qual o principal solicitou acesso.
O método de serviço para o qual o principal solicitou acesso.
O endereço IP do principal que solicitou o acesso. Esse endereço IP é o mesmo que o valor caller_ip da entrada de registro do evento de negação de acesso nos Registros de auditoria do Cloud. Para mais informações, consulte Endereço IP do autor da chamada nos registros de auditoria.
O token de solução de problemas do evento de negação de acesso.
Detalhes do dispositivo e da região envolvidos. Para conferir essas informações, clique em Ver mais detalhes.

Avaliação da violação

A seção Avaliação de violação mostra a avaliação geral do evento de negação de acesso. A avaliação inclui os resultados da solução de problemas do modo de simulação e de execução aplicada do perímetro.

Os resultados da solução de problemas de um evento de negação de acesso podem variar ao longo do tempo se houver mudanças nos perímetros de serviço ou nas políticas de acesso depois que o VPC Service Controls registrar o evento de negação de acesso. Esse comportamento ocorre porque o analisador de violações busca as informações mais recentes dos perímetros de serviço e políticas de acesso relevantes para avaliação.

Resultado

A seção Resultado mostra a avaliação do evento de negação de acesso em todos os perímetros envolvidos. O valor pode ser Granted, Denied ou Not applicable.

Recursos protegidos acessados

A seção Recursos protegidos acessados lista os perímetros com o status de avaliação correspondente ao evento de negação de acesso. Nesta seção, você pode conferir as seguintes informações:

Uma lista de todos os recursos envolvidos neste evento de negação de acesso:

A coluna Recursos acessados mostra todos os recursos envolvidos protegidos pelo perímetro.
Quando você não tem permissões suficientes para visualizar os recursos restritos, a seção Recursos protegidos acessados não lista o nome do perímetro e a coluna Recursos acessados mostra o projeto envolvido com um ícone de aviso.

A seção Outros recursos acessados lista todos os outros recursos envolvidos, agrupados em um dos seguintes estados:

Estado	Descrição
Irrestrito	Esse estado indica que o recurso não está protegido por nenhum perímetro de serviço.
Informações recusadas	Esse estado indica que você não tem permissões suficientes para visualizar os perímetros de serviço que protegem o recurso.
Erro	Esse estado indica que ocorreu um erro interno ao tentar visualizar os perímetros de serviço que protegem o recurso.

Ao selecionar um perímetro da lista, você pode conferir o resultado da solução de problemas para o evento de negação de acesso no perímetro selecionado.
Você também pode conferir os resultados da solução de problemas para diferentes modos de aplicação do perímetro. Por padrão, a página de resultados da solução de problemas mostra o resultado da solução de problemas do modo Restrito. Se você quiser conferir o resultado da solução de problemas do modo de teste, clique em Teste. Para mais informações sobre os modos de aplicação de perímetro, consulte Detalhes e configuração do perímetro de serviço.

Como as configurações do modo obrigatório e do modo de simulação de um perímetro podem ser diferentes, o analisador de violações pode gerar resultados de solução de problemas diferentes para as configurações do modo obrigatório e do modo de simulação.

Recursos restritos

Por padrão, a seção Recursos restritos mostra apenas os recursos envolvidos nessa violação e protegidos pelo perímetro selecionado. Para conferir os outros recursos protegidos pelo perímetro selecionado, clique em Conferir outros recursos restritos.

Serviços restritos

Por padrão, a seção Serviços restritos mostra apenas os serviços envolvidos nessa violação e protegidos pelo perímetro selecionado. Para conferir os outros serviços protegidos pelo perímetro selecionado, clique em Conferir outros serviços restritos.

Entrada

A seção Ingress mostra a avaliação do evento de negação de acesso em relação a todas as regras de entrada e níveis de acesso envolvidos. Para cada solicitação de acesso, o analista de violação avalia os agentes de serviço ou as redes e os recursos de destino correspondentes em relação às regras de entrada e aos níveis de acesso.

O analisador de violações agrupa e mostra as informações de avaliação da regra de entrada com base nas regras de entrada e nos níveis de acesso. É possível clicar em cada regra ou nível de acesso nesta seção, e o analisador de violação abre uma seção expansível que mostra os nomes dos recursos de destino avaliados em relação à regra de entrada ou ao nível de acesso selecionado.

Saída

A seção Saída mostra a avaliação do evento de negação de acesso em relação a todas as regras de saída envolvidas. O analisador de violações avalia os pares de recursos de origem e destino da solicitação de acesso em relação às regras de saída.

O analisador de violações agrupa e exibe as informações de avaliação da regra de saída com base nas regras de saída. Você pode clicar em cada regra nesta seção, e o Violation Analyzer abre uma seção expansível que mostra a avaliação detalhada dos recursos em relação à regra de saída selecionada.

Serviços acessíveis pelo VPC

A seção Serviços acessíveis pela VPC mostra o status dos serviços que são acessíveis de endpoints de rede dentro do perímetro. Esses status correspondem ao momento em que o evento de negação de acesso ocorreu. Se o status de avaliação de um serviço for Denied, não será possível acessar o serviço de endpoints de rede dentro do perímetro.

Para mais informações, consulte Serviços acessíveis por VPC.

Comparar os resultados do modo obrigatório e do modo de teste

É possível comparar os resultados da solução de problemas de um evento de negação de acesso entre os modos de execução aplicada e de simulação do perímetro selecionado. Para comparar os resultados da solução de problemas, clique em Comparar com o modo de teste na página de resultados da solução de problemas do modo forçado de um perímetro.

Se o modo de teste herdar a configuração do modo aplicado do perímetro, ele também herda o resultado da solução de problemas do modo aplicado.

Limitações

Você só pode usar o analisador de violação no escopo da organização, e ele não é acessível no escopo do projeto.
O analisador de violações busca as informações mais recentes dos perímetros de serviço relevantes e das políticas de acesso para avaliação. Portanto, os resultados da solução de problemas para um evento de negação de acesso podem variar ao longo do tempo se houver mudanças nos perímetros de serviço ou nas políticas de acesso depois que o VPC Service Controls registrar o evento de negação de acesso.
- Além disso, se você diagnosticar um evento de negação de acesso várias vezes, os resultados da solução de problemas podem variar para cada diagnóstico se a política de acesso tiver mudado.
O resultado da solução de problemas de um evento de negação de acesso pode ser diferente nos seguintes cenários:
- Quando você definiu um nível de acesso em uma política de escopo e usou o nível de acesso no seu perímetro de serviço.
- Quando você definiu condições baseadas em rede VPC e endereço IP interno em um nível de acesso e usou o nível de acesso no seu perímetro de serviço.
- Quando você definiu condições com base em atributo do dispositivo em um nível de acesso e usou o nível de acesso no perímetro do serviço, mas não tem as permissões necessárias para conferir os detalhes do dispositivo.
- Quando uma regra de entrada ou saída do perímetro de serviço usa grupos de identidade ou identidades de terceiros.
- Quando uma regra de saída do perímetro de serviço usa o atributo sources.
- Quando a solicitação de acesso não contém recursos.
- Quando você configurou uma política de força de credenciais no nível de acesso.
- Quando uma regra de entrada ou saída do perímetro de serviço usa uma permissão de serviço como uma condição de operação de API.

A seguir

Diagnosticar problemas usando o solucionador de problemas do VPC Service Controls
Para informações sobre os motivos de negação de acesso, consulte Depuração de solicitações bloqueadas pelo VPC Service Controls.