Configure e veja o painel de controlo de violações

Esta página descreve como configurar e usar o painel de controlo de violações do VPC Service Controls para ver os detalhes sobre as recusas de acesso por perímetros de serviço na sua organização.

Custo

Quando usa o painel de controlo de violações dos VPC Service Controls, tem de considerar o custo que incorre pela utilização dos seguintes componentes faturáveis de Google Cloud:

• Como implementa recursos do Cloud Logging na sua organização enquanto configura o painel de controlo de violações, incorre em custos pela utilização destes recursos.

• Uma vez que usa um destino do Log Router ao nível da organização para o painel de controlo de violações, o VPC Service Controls duplica todos os seus registos de auditoria no contentor de registos configurado. A utilização do contentor de registos tem um custo. Para estimar o custo potencial da utilização do contentor de registos, consulte e calcule o volume dos seus registos de auditoria. Para mais informações sobre como consultar os seus registos existentes, consulte o artigo Ver registos.

Para ver informações sobre os preços do Cloud Logging e Cloud Monitoring, consulte os preços da observabilidade do Google Cloud.

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Service Usage API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Service Usage API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Funções necessárias

• Para receber as autorizações de que precisa para configurar o painel de controlo de violações, peça ao seu administrador para lhe conceder a função IAM de administrador de registos (roles/logging.admin) no projeto no qual configura um contentor de registos durante a configuração do painel de controlo de violações. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

  Esta função predefinida contém as autorizações necessárias para configurar o painel de controlo de violações. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

  Autorizações necessárias

  São necessárias as seguintes autorizações para configurar o painel de controlo de violações:

  • Para listar os contentores de registos do projeto selecionado: logging.buckets.list
  • Para criar um novo contentor de registos: logging.buckets.create
  • Para ativar o Log Analytics no contentor de registos selecionado: logging.buckets.update
  • Para criar um novo destino do Log Router: logging.sinks.create

  Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

• Para obter as autorizações de que precisa para ver o painel de controlo de violações, peça ao seu administrador que lhe conceda as seguintes funções do IAM no projeto no qual configura um contentor de registos durante a configuração do painel de controlo de violações:

  • Aceder à vista de registos (roles/logging.viewAccessor)
  • Visualizador de resolução de problemas do VPC Service Controls (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

  Estas funções predefinidas contêm as autorizações necessárias para ver o painel de controlo de violações. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

  Autorizações necessárias

  São necessárias as seguintes autorizações para ver o painel de controlo de violações:

  • Para apresentar os nomes das políticas de acesso: accesscontextmanager.policies.list
  • Para apresentar os nomes dos projetos: resourcemanager.projects.get

  Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Configure o painel de controlo

Para configurar o painel de controlo de violações, tem de configurar um contentor de registos para agregar os registos de auditoria do VPC Service Controls e criar um destinatário do Log Router ao nível da organização que encaminhe todos os registos de auditoria do VPC Service Controls para o contentor de registos.

Para configurar o painel de controlo de violações para a sua organização, faça o seguinte uma vez:

1. Na Google Cloud consola, aceda à página VPC Service Controls.

   Aceda aos VPC Service Controls

   Se lhe for pedido, selecione a sua organização. Só pode aceder à página VPC Service Controls ao nível da organização.

2. Na página VPC Service Controls, clique em Painel de controlo de violações.

3. Na página Configuração do painel de controlo de violações, no campo Projeto, selecione o projeto que contém o contentor de registos no qual quer agregar os registos de auditoria.

4. Para Destino do contentor de registos, selecione Contentor de registos existente ou Criar novo contentor de registos.

   • Se quiser usar um contentor de registos existente, na lista Contentor de registos, selecione o contentor de registos necessário.

   • Se criar um novo contentor de registos, introduza as informações necessárias nos seguintes campos:

     1. Nome: um nome para o seu contentor de registos.

     2. Descrição: uma descrição do seu contentor de registos.

     3. Região: a região onde quer armazenar os seus registos.

     4. Período de retenção: uma duração personalizada durante a qual o Cloud Logging tem de reter os seus registos.

     Para mais informações sobre estes campos, consulte o artigo Crie um contentor.

5. Clique em Criar destino do router de registos. O VPC Service Controls cria um novo destino do Log Router denominado reserved_vpc_sc_dashboard_log_router no projeto selecionado.

Esta operação demora cerca de um minuto a ser concluída.

Veja as recusas de acesso no painel de controlo

Depois de configurar o painel de controlo de violações, pode usá-lo para ver os detalhes sobre as recusas de acesso por perímetros de serviço na sua organização.

1. Na Google Cloud consola, aceda à página VPC Service Controls.

   Aceda aos VPC Service Controls

   Se lhe for pedido, selecione a sua organização. Só pode aceder à página VPC Service Controls ao nível da organização.

2. Na página VPC Service Controls, clique em Painel de controlo de violações. É apresentada a página Painel de controlo de violações.

Na página Painel de controlo de violações, pode realizar as seguintes operações:

• Filtragem: na lista filter_list Filtrar, selecione as opções necessárias para filtrar e ver dados específicos, por exemplo, principal, política de acesso e recurso. Para aplicar um valor específico de uma das tabelas como filtro, clique em filter_alt Adicionar filtro antes do valor.

• Intervalos de tempo: para selecionar o intervalo de tempo dos dados, clique num dos intervalos de tempo predefinidos. Para definir um intervalo de tempo personalizado, clique em Personalizado.

• Tabelas e gráficos: desloque a página do painel de controlo de violações para ver os dados categorizados em diferentes tabelas e gráficos. O painel de controlo de violações apresenta as seguintes tabelas e gráficos:

  • Violações

  • Contagem de violações

  • Principais violações por principal

  • Principais violações por IP principal

  • Principais violações por serviço

  • Principais violações por método

  • Principais violações por recurso

  • Principais violações por perímetro de serviço

  • Principais violações por política de acesso

• Resolva problemas de recusas de acesso: clique no token de resolução de problemas de uma recusa de acesso indicada na tabela Violações para diagnosticar a recusa de acesso através da análise de violações. O VPC Service Controls abre o analisador de violações e apresenta o resultado da resolução de problemas da negação de acesso.

  Para obter informações sobre a utilização do analisador de violações, consulte o artigo Diagnostique um evento de negação de acesso com o analisador de violações do VPC Service Controls (pré-visualização).

• Paginação: o painel de controlo de violações pagina os dados apresentados em todas as tabelas. Clique em chevron_left Anterior e chevron_right Seguinte para navegar e ver os dados paginados.

• Modifique o destino do Log Router: para modificar o destino do Log Router configurado, clique em Editar destino do registo.

  Para obter informações sobre como modificar um destino do Log Router, consulte o artigo Faça a gestão dos destinos.

Resolver problemas

Se tiver problemas ao usar o painel de controlo de violações, experimente resolver os problemas conforme descrito nas secções seguintes.

Um perímetro de serviço recusou o acesso à sua conta de utilizador

Se encontrar um erro devido a autorizações insuficientes, verifique se algum perímetro de serviço na sua organização está a negar o acesso à API Cloud Logging. Para resolver este problema, crie uma regra de entrada que lhe permita aceder à API Cloud Logging:

1. Na Google Cloud consola, aceda à página VPC Service Controls.

   Aceda aos VPC Service Controls

   Se lhe for pedido, selecione a sua organização.

2. Na página VPC Service Controls, clique no perímetro de serviço que protege o projeto que contém o contentor de registos.

3. Crie uma regra de entrada que lhe permita aceder à API Cloud Logging no projeto.

Um perímetro de serviço negou o acesso ao contentor de registos

Se os VPC Service Controls não encaminharem os registos de auditoria para o contentor de registos configurado, pode ter de criar uma regra de entrada que permita que a conta de serviço do destino do Log Router aceda à API Cloud Logging no seu perímetro de serviço:

1. Na Google Cloud consola, aceda à página Log Router.

   Aceder ao registo do router

2. Na página Log Router, selecione o more_vert menu para o destino do Log Router configurado e, de seguida, selecione Ver detalhes do destino.

3. Na caixa de diálogo Detalhes do destino, no campo Identidade do escritor, copie a conta de serviço que o destino do Log Router usa.

4. Na Google Cloud consola, aceda à página VPC Service Controls.

   Aceda aos VPC Service Controls

   Se lhe for pedido, selecione a sua organização.

5. Na página VPC Service Controls, clique no perímetro de serviço que protege o projeto que contém o contentor de registos.

6. Crie uma regra de entrada que permita à conta de serviço do destino do Log Router aceder à API Cloud Logging no projeto.

Limitações

• Os VPC Service Controls não preenchem os registos de auditoria de outros contentores ao nível do projeto:

  • Se criar um novo contentor de registos durante a configuração do painel de controlo de violações, os VPC Service Controls não preenchem os registos existentes de outros projetos na sua organização no contentor de registos recém-criado. O painel de controlo aparece vazio até que o VPC Service Controls registe novas violações e encaminhe estes registos para o novo contentor de registos.

  • Se selecionar um contentor de registos existente ao configurar o painel de controlo de violações, o painel de controlo apresenta informações de todos os registos existentes do contentor de registos selecionado. O painel de controlo não apresenta registos de outros projetos na sua organização porque os VPC Service Controls não preenchem estes registos no contentor de registos selecionado.

O que se segue?

• Registo de auditoria dos VPC Service Controls
• Diagnostique problemas através da resolução de problemas do VPC Service Controls
• Diagnostique um evento de negação de acesso através do analisador de violações do VPC Service Controls (pré-visualização)
• Resolva problemas comuns do VPC Service Controls com os Google Cloud serviços