Dashboard für Verstöße einrichten und aufrufen

Auf dieser Seite wird beschrieben, wie Sie das Dashboard für VPC Service Controls-Verstöße einrichten und verwenden, um Details zu Zugriffsverweigerungen durch Dienstperimeter in Ihrer Organisation aufzurufen.

Kosten

Wenn Sie das Dashboard für VPC Service Controls-Verstöße verwenden, müssen Sie die Kosten berücksichtigen, die Ihnen durch die Nutzung der folgenden abrechenbaren Komponenten von Google Cloudentstehen:

• Da Sie beim Einrichten des Dashboards für Verstöße Cloud Logging-Ressourcen in Ihrer Organisation bereitstellen, fallen für die Nutzung dieser Ressourcen Kosten an.

• Da Sie für das Dashboard zu Verstößen eine Log-Router-Senke auf Organisationsebene verwenden, werden alle Ihre Prüfprotokolle von VPC Service Controls im konfigurierten Log-Bucket dupliziert. Für die Verwendung des Log-Buckets fallen Kosten an. Wenn Sie die potenziellen Kosten für die Verwendung des Log-Buckets schätzen möchten, rufen Sie das Volumen Ihrer Prüfprotokolle ab und berechnen Sie es. Weitere Informationen zum Abfragen vorhandener Logs finden Sie unter Logs ansehen.

Informationen zu den Preisen für Cloud Logging und Cloud Monitoring finden Sie unter Preise für Google Cloud Observability.

Hinweise

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Service Usage API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Service Usage API.

   Enable the API

Erforderliche Rollen

• Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Logging Admin (roles/logging.admin) für das Projekt zu erteilen, in dem Sie während der Einrichtung des Verstoß-Dashboards einen Protokoll-Bucket konfigurieren, um die Berechtigungen zu erhalten, die Sie zum Einrichten des Verstoß-Dashboards benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

  Diese vordefinierte Rolle enthält die Berechtigungen, die zum Einrichten des Dashboards für Verstöße erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

  Erforderliche Berechtigungen

  Die folgenden Berechtigungen sind erforderlich, um das Dashboard für Verstöße einzurichten:

  • So listen Sie die Log-Buckets des ausgewählten Projekts auf: logging.buckets.list
  • So erstellen Sie einen neuen Log-Bucket: logging.buckets.create
  • So aktivieren Sie Log Analytics im ausgewählten Log-Bucket: logging.buckets.update
  • So erstellen Sie einen neuen Log Router-Sink: logging.sinks.create

  Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

• Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, in dem Sie bei der Einrichtung des Verstoß-Dashboards einen Log-Bucket konfigurieren, um die Berechtigungen zu erhalten, die Sie zum Aufrufen des Verstoß-Dashboards benötigen:

  • Zugriffsberechtigter für Logbetrachtung (roles/logging.viewAccessor)
  • Betrachter der VPC Service Controls-Fehlerbehebung (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

  Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen des Dashboards für Verstöße erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

  Erforderliche Berechtigungen

  Für das Aufrufen des Dashboards zu Verstößen sind die folgenden Berechtigungen erforderlich:

  • So rufen Sie die Namen der Zugriffsrichtlinien auf: accesscontextmanager.policies.list
  • So rufen Sie die Projektnamen auf: resourcemanager.projects.get

  Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Dashboard einrichten

Um das Dashboard für Verstöße einzurichten, müssen Sie einen Log-Bucket konfigurieren, um die VPC Service Controls-Audit-Logs zu aggregieren, und eine Log-Router-Senke auf Organisationsebene erstellen, die alle VPC Service Controls-Audit-Logs an den Log-Bucket weiterleitet.

So richten Sie das Dashboard für Verstöße für Ihre Organisation ein:

1. Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

   Zu „VPC Service Controls“

   Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden. Sie können auf die Seite VPC Service Controls nur auf Organisationsebene zugreifen.

2. Klicken Sie auf der Seite VPC Service Controls auf Dashboard zu Verstößen.

3. Wählen Sie auf der Seite Dashboard für Verstöße einrichten im Feld Projekt das Projekt aus, das den Log-Bucket enthält, in dem Sie die Audit-Logs zusammenfassen möchten.

4. Wählen Sie im Feld Log-Bucket einen vorhandenen Log-Bucket aus oder erstellen Sie einen neuen.

5. Wenn Sie einen neuen Log-Bucket erstellen, geben Sie im Feld Name des Log-Buckets einen Namen für den Log-Bucket ein.

6. Klicken Sie auf Logrouter-Senke erstellen. VPC Service Controls erstellt im ausgewählten Projekt eine neue Log Router-Senke mit dem Namen reserved_vpc_sc_dashboard_log_router.

Dieser Vorgang dauert etwa eine Minute.

Zugriffsverweigerungen im Dashboard ansehen

Nachdem Sie das Dashboard für Verstöße eingerichtet haben, können Sie sich dort Details zu den Zugriffsverweigerungen durch Dienstperimeter in Ihrer Organisation ansehen.

1. Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

   Zu „VPC Service Controls“

   Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden. Sie können auf die Seite VPC Service Controls nur auf Organisationsebene zugreifen.

2. Klicken Sie auf der Seite VPC Service Controls auf Dashboard zu Verstößen. Die Seite Dashboard zu Verstößen wird angezeigt.

Auf der Seite Dashboard zu Verstößen haben Sie folgende Möglichkeiten:

• Filterung:Mit den auf der Seite verfügbaren Filtern, z. B. für Zugriffsrichtlinien und Ressourcen, können Sie bestimmte Daten filtern und aufrufen.

• Zeitintervalle:Klicken Sie auf eines der vordefinierten Zeitintervalle, um den Zeitraum für die Daten auszuwählen. Wenn Sie einen benutzerdefinierten Zeitraum festlegen möchten, klicken Sie auf Benutzerdefiniert.

• Tabellen:Scrollen Sie auf der Seite Dashboard zu Verstößen, um die Daten in verschiedenen Tabellen zu sehen. Das Dashboard zu Verstößen enthält die folgenden Tabellen:

  • Verstöße

  • Top-Verstöße nach Hauptkonto

  • Top-Verstöße nach Hauptkonto-IP-Adresse

  • Top-Verstöße nach Dienst

  • Top-Verstöße nach Methode

  • Top-Verstöße nach Ressource

  • Top-Verstöße nach Dienstperimeter

• Fehlerbehebung bei Zugriffsverweigerungen:Klicken Sie in der Tabelle Verstöße auf das Token zur Fehlerbehebung einer Zugriffsverweigerung, um sie mithilfe des Verstoßanalysetools zu diagnostizieren. VPC Service Controls öffnet den Verstoßanalysator und zeigt das Ergebnis der Fehlerbehebung für die Zugriffsverweigerung an.

  Informationen zur Verwendung des Verstoßanalysators finden Sie unter Ereignisse mit Zugriffsverweigerung mit dem Verstoßanalysator für VPC Service Controls diagnostizieren (Vorabversion).

• Paginierung:Im Dashboard zu Verstößen werden die Daten in allen Tabellen paginatiert. Klicken Sie auf chevron_left und chevron_right, um die paginaten Daten aufzurufen und zu durchsuchen.

• Log Router-Senke ändern:Klicken Sie auf Log-Senke bearbeiten, um die konfigurierte Log Router-Senke zu ändern.

  Informationen zum Ändern einer Log Router-Senke finden Sie unter Senken verwalten.

Fehlerbehebung

Wenn bei der Verwendung des Dashboards zu Verstößen Probleme auftreten, versuchen Sie, sie wie in den folgenden Abschnitten beschrieben zu beheben.

Ein Dienstperimeter hat den Zugriff auf Ihr Nutzerkonto verweigert

Wenn ein Fehler aufgrund unzureichender Berechtigungen auftritt, prüfen Sie, ob ein Dienstperimeter in Ihrer Organisation den Zugriff auf die Cloud Logging API verweigert. Erstellen Sie eine Ingress-Regel, mit der Sie auf die Cloud Logging API zugreifen können, um dieses Problem zu beheben:

1. Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

   Zu „VPC Service Controls“

   Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

2. Klicken Sie auf der Seite VPC Service Controls auf den Dienstperimeter, der das Projekt mit Ihrem Protokoll-Bucket schützt.

3. Erstellen Sie eine Ingress-Regel, mit der Sie im Projekt auf die Cloud Logging API zugreifen können.

Ein Dienstperimeter hat den Zugriff auf den Log-Bucket verweigert

Wenn Ihre Prüflogs von VPC Service Controls nicht an den konfigurierten Log-Bucket weitergeleitet werden, müssen Sie möglicherweise eine Ingress-Regel erstellen, die dem Dienstkonto der Log Router-Senke den Zugriff auf die Cloud Logging API in Ihrem Dienstperimeter erlaubt:

1. Rufen Sie in der Google Cloud Console die Seite Log Router auf.

   Zum "Log Router"

2. Wählen Sie auf der Seite Log-Router für die konfigurierte Log-Router-Senke das more_vert-Menü und dann Senkendetails ansehen aus.

3. Kopieren Sie im Dialogfeld Senkendetails aus dem Feld Identität des Autors das Dienstkonto, das vom Log Router-Senke verwendet wird.

4. Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

   Zu „VPC Service Controls“

   Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

5. Klicken Sie auf der Seite VPC Service Controls auf den Dienstperimeter, der das Projekt mit Ihrem Protokoll-Bucket schützt.

6. Erstellen Sie eine Ingress-Regel, die dem Dienstkonto des Log Router-Sinks Zugriff auf die Cloud Logging API im Projekt gewährt.

Beschränkungen

• Mit VPC Service Controls werden die Audit-Logs nicht aus anderen Bucket auf Projektebene aufgefüllt:

  • Wenn Sie beim Einrichten des Dashboards für Verstöße einen neuen Log-Bucket erstellen, werden die vorhandenen Logs aus anderen Projekten in Ihrer Organisation nicht von VPC Service Controls in den neu erstellten Log-Bucket kopiert. Das Dashboard ist leer, bis VPC Service Controls neue Verstöße protokolliert und diese Protokolle an den neuen Log-Bucket weiterleitet.

  • Wenn Sie beim Einrichten des Dashboards für Verstöße einen vorhandenen Log-Bucket auswählen, werden im Dashboard Informationen zu allen vorhandenen Logs aus dem ausgewählten Log-Bucket angezeigt. Im Dashboard werden keine Logs aus anderen Projekten in Ihrer Organisation angezeigt, da diese Logs von VPC-Dienststeuerungen nicht in den ausgewählten Log-Bucket zurückgefüllt werden.

Nächste Schritte

• Audit-Logs für VPC Service Controls
• Probleme mithilfe der VPC Service Controls-Fehlerbehebung diagnostizieren
• Ereignisse mit Zugriffsverweigerung mit dem VPC Service Controls-Verstoßanalysator diagnostizieren (Vorabversion)
• Fehlerbehebung bei häufigen VPC Service Controls-Problemen mit Google Cloud Diensten