Configurar e acessar o painel de violações

Esta página descreve como configurar e usar o painel de violações do VPC Service Controls para conferir os detalhes sobre as negações de acesso por perímetros de serviço na sua organização.

Custo

Ao usar o painel de violação do VPC Service Controls, é necessário considerar o custo que você incorre ao usar os seguintes componentes faturáveis do Google Cloud:

• Como você implanta recursos do Cloud Logging na sua organização ao configurar o painel de violações, você incorre em custos pelo uso desses recursos.

• Como você usa um coletor do Log Router no nível da organização para o painel de violações, o VPC Service Controls duplica todos os registros de auditoria no bucket de registro configurado. Você vai receber uma cobrança pelo uso do bucket de registro. Para estimar o custo potencial do uso do bucket de registro, consulte e calcule o volume dos registros de auditoria. Para mais informações sobre como consultar seus registros, consulte Conferir registros.

Para informações sobre os preços do Cloud Logging e do Cloud Monitoring, consulte Preços de observabilidade do Google Cloud.

Antes de começar

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Service Usage API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Service Usage API.

   Enable the API

Funções exigidas

• Para receber as permissões necessárias para configurar o painel de violações, peça ao administrador para conceder a você o papel do IAM de Administrador de registros (roles/logging.admin) no projeto em que você configura um bucket de registro durante a configuração do painel de violações. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

  Esse papel predefinido contém as permissões necessárias para configurar o painel de violações. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

  Permissões necessárias

  As seguintes permissões são necessárias para configurar o painel de violações:

  • Para listar os buckets de registro do projeto selecionado: logging.buckets.list
  • Para criar um bucket de registros: logging.buckets.create
  • Para ativar a Análise de registros no bucket de registros selecionado: logging.buckets.update
  • Para criar um novo sink do Log Router: logging.sinks.create

  Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

• Para receber as permissões necessárias para visualizar o painel de violações, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto em que você configura um bucket de registro durante a configuração do painel de violações:

  • Acessador de exibição de registros (roles/logging.viewAccessor)
  • Leitor do solucionador de problemas do VPC Service Controls (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

  Esses papéis predefinidos contêm as permissões necessárias para acessar o painel de violações. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

  Permissões necessárias

  As seguintes permissões são necessárias para acessar o painel de violações:

  • Para mostrar os nomes das políticas de acesso: accesscontextmanager.policies.list
  • Para mostrar os nomes dos projetos: resourcemanager.projects.get

  Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Configurar o painel

Para configurar o painel de violações, você precisa configurar um bucket de registro para agregar os registros de auditoria do VPC Service Controls e criar um coletor de roteador de registros no nível da organização, que vai encaminhar todos os registros de auditoria do VPC Service Controls para o bucket de registro.

Para configurar o painel de violações da sua organização, faça o seguinte uma vez:

1. No console do Google Cloud, acesse a página VPC Service Controls.

   Acessar o VPC Service Controls

   Se solicitado, selecione a organização. Só é possível acessar a página VPC Service Controls no nível da organização.

2. Na página VPC Service Controls, clique em Painel de violações.

3. Na página Configuração do painel de violações, no campo Project, selecione o projeto que contém o bucket de registro em que você quer agregar os registros de auditoria.

4. No campo Bucket de registro, selecione um bucket de registro existente ou Criar novo bucket de registro para criar um novo bucket de registro.

5. Se você criar um novo bucket de registros, insira um nome no campo Nome do bucket de registros.

6. Clique em Criar coletor para o roteador de registros. O VPC Service Controls cria um novo coletor do roteador de registros chamado reserved_vpc_sc_dashboard_log_router no projeto selecionado.

Essa operação leva cerca de um minuto para ser concluída.

Conferir negações de acesso no painel

Depois de configurar o painel de violações, você pode usá-lo para conferir os detalhes sobre as negações de acesso por perímetros de serviço na sua organização.

1. No console do Google Cloud, acesse a página VPC Service Controls.

   Acessar o VPC Service Controls

   Se solicitado, selecione a organização. Só é possível acessar a página VPC Service Controls no nível da organização.

2. Na página VPC Service Controls, clique em Painel de violações. A página Painel de violações é exibida.

Na página Painel de violações, é possível realizar as seguintes operações:

• Filtragem:usando os filtros disponíveis na página, como política de acesso e recurso, é possível filtrar e visualizar dados específicos.

• Intervalos de tempo:para selecionar o período dos dados, clique em um dos intervalos de tempo predefinidos. Para definir um período personalizado, clique em Personalizado.

• Tabelas:role a página do Painel de violações para conferir os dados categorizados em diferentes tabelas. O painel de violações mostra as seguintes tabelas:

  • Violações

  • Principais violações por principal

  • Principais violações por IP do principal

  • Principais violações por serviço

  • Principais violações por método

  • Principais violações por recurso

  • Principais violações por perímetro de serviço

• Resolver problemas de recusa de acesso:clique no token de solução de problemas de uma recusa de acesso listada na tabela Violations para diagnosticar a recusa de acesso usando o analisador de violações. O VPC Service Controls abre o analisador de violações e mostra o resultado da solução de problemas da negação de acesso.

  Para informações sobre como usar o analisador de violações, consulte Como diagnosticar um evento de negação de acesso usando o analisador de violações do VPC Service Controls (pré-lançamento).

• Paginação:o painel de violações pagina os dados mostrados em todas as tabelas. Clique em chevron_left e chevron_right para navegar e conferir os dados paginados.

• Modificar o coletor do Roteador de registros:para modificar o coletor configurado, clique em Editar coletor de registros.

  Para informações sobre como modificar um coletor do Log Router, consulte Gerenciar coletores.

Resolver problemas

Se você tiver problemas ao usar o painel de violações, tente resolver e resolver os problemas conforme descrito nas seções a seguir.

Um perímetro de serviço negou acesso à sua conta de usuário

Se você encontrar um erro devido a permissões insuficientes, verifique se algum perímetro de serviço na sua organização está negando o acesso à API Cloud Logging. Para resolver esse problema, crie uma regra de entrada que permita o acesso à API Cloud Logging:

1. No console do Google Cloud, acesse a página VPC Service Controls.

   Acessar o VPC Service Controls

   Se solicitado, selecione a organização.

2. Na página VPC Service Controls, clique no perímetro de serviço que protege o projeto que contém seu bucket de registros.

3. Crie uma regra de entrada que permita acessar a API Cloud Logging no projeto.

Um perímetro de serviço negou o acesso ao bucket de registros

Se o VPC Service Controls não rotear seus registros de auditoria para o bucket de registro configurado, talvez seja necessário criar uma regra de entrada que permita que a conta de serviço do coletor de registros do roteador de registros acesse a API Cloud Logging no seu perímetro de serviço:

1. No Console do Google Cloud, acesse a página Roteador de registros.

   Acessar o roteador de registros

2. Na página Roteador de registros, selecione Menu more_vert para o coletor configurado e selecione Exibir detalhes do coletor.

3. Na caixa de diálogo Detalhes do coletor, no campo Identidade do gravador, copie a conta de serviço usada pelo coletor do roteador de registros.

4. No console do Google Cloud, acesse a página VPC Service Controls.

   Acessar o VPC Service Controls

   Se solicitado, selecione a organização.

5. Na página VPC Service Controls, clique no perímetro de serviço que protege o projeto que contém seu bucket de registros.

6. Crie uma regra de entrada que permita que a conta de serviço do Log Router acesse a API Cloud Logging no projeto.

Limitações

• O VPC Service Controls não preenche os registros de auditoria de outros buckets no nível do projeto:

  • Se você criar um novo bucket de registros ao configurar o painel de violações, o VPC Service Controls não preencherá os registros existentes de outros projetos da sua organização no bucket de registros recém-criado. O painel aparece vazio até que o VPC Service Controls registre novas violações e roteie esses registros para o novo bucket de registros.

  • Se você selecionar um bucket de registro ao configurar o painel de violações, ele vai mostrar informações de todos os registros do bucket de registro selecionado. O painel não mostra registros de outros projetos na sua organização porque o VPC Service Controls não preenche esses registros no bucket de registro selecionado.

A seguir

• Geração de registros de auditoria do VPC Service Controls
• Diagnosticar problemas usando o solucionador de problemas do VPC Service Controls
• Diagnosticar um evento de negação de acesso usando o analisador de violação do VPC Service Controls (pré-lançamento)
• Resolver problemas comuns do VPC Service Controls nos Google Cloud serviços