Configura y visualiza el panel de incumplimientos

En esta página, se describe cómo configurar y usar el panel de incumplimientos de los Controles del servicio de VPC para ver los detalles sobre los rechazos de acceso por perímetros de servicio en tu organización.

Costo

Cuando usas el panel de incumplimientos de los Controles del servicio de VPC, debes considerar el costo que incurras por usar los siguientes componentes facturables de Google Cloud:

• Debido a que implementas recursos de Cloud Logging en tu organización mientras configuras el panel de incumplimientos, incurres en costos por usar estos recursos.

• Debido a que usas un receptor del enrutador de registros a nivel de la organización para el panel de incumplimientos, los Controles del servicio de VPC duplican todos tus registros de auditoría en el bucket de registros configurado. Se aplican costos por usar el bucket de registros. Para estimar el costo potencial de usar el bucket de registros, consulta y calcula el volumen de tus registros de auditoría. Para obtener más información sobre cómo consultar tus registros existentes, consulta Cómo ver registros.

Para obtener información sobre los precios de Cloud Logging y Cloud Monitoring, consulta Precios de Google Cloud Observability.

Antes de comenzar

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Service Usage API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Service Usage API.

   Enable the API

Roles obligatorios

• Para obtener los permisos que necesitas para configurar el panel de incumplimientos, pídele a tu administrador que te otorgue el rol de IAM Administrador de registros (roles/logging.admin) en el proyecto en el que configures un bucket de registros durante la configuración del panel de incumplimientos. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

  Este rol predefinido contiene los permisos necesarios para configurar el panel de incumplimientos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

  Permisos necesarios

  Se requieren los siguientes permisos para configurar el panel de incumplimientos:

  • Para enumerar los buckets de registros del proyecto seleccionado, haz lo siguiente: logging.buckets.list
  • Para crear un bucket de registro nuevo, sigue estos pasos: logging.buckets.create
  • Para habilitar el Análisis de registros en el bucket de registros seleccionado, haz lo siguiente: logging.buckets.update
  • Para crear un nuevo objeto Log Router sink, haz lo siguiente: logging.sinks.create

  También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

• Para obtener los permisos que necesitas para ver el panel de incumplimientos, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto en el que configuras un bucket de registro durante la configuración del panel de incumplimientos:

  • Descriptor de acceso de vista de registros (roles/logging.viewAccessor)
  • Visualizador del solucionador de problemas de los Controles del servicio de VPC (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

  Estos roles predefinidos contienen los permisos necesarios para ver el panel de incumplimientos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

  Permisos necesarios

  Se requieren los siguientes permisos para ver el panel de incumplimientos:

  • Para mostrar los nombres de las políticas de acceso, haz lo siguiente: accesscontextmanager.policies.list
  • Para mostrar los nombres de los proyectos, haz lo siguiente: resourcemanager.projects.get

  También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Configura el panel

Para configurar el panel de incumplimientos, debes configurar un bucket de registros para agregar los registros de auditoría de los Controles del servicio de VPC y crear un receptor del enrutador de registros a nivel de la organización que enrute todos los registros de auditoría de los Controles del servicio de VPC al bucket de registros.

Para configurar el panel de incumplimientos de tu organización, haz lo siguiente una vez:

1. En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

   Ir a los Controles del servicio de VPC

   Si se te solicita, selecciona tu organización. Solo puedes acceder a la página Controles del servicio de VPC a nivel de la organización.

2. En la página Controles del servicio de VPC, haz clic en Panel de incumplimientos.

3. En la página Configuración del panel de infracciones, en el campo Project, selecciona el proyecto que contiene el bucket de registro en el que deseas agregar los registros de auditoría.

4. En el campo Bucket de registros, selecciona un bucket de registros existente o Crear bucket de registros para crear uno nuevo.

5. Si creas un bucket de registro nuevo, en el campo Nombre del bucket de registro, ingresa un nombre para el bucket de registro.

6. Haz clic en Crear receptor del router de registros. Los controles de servicio de VPC crean un nuevo receptor del router de registros llamado reserved_vpc_sc_dashboard_log_router en el proyecto seleccionado.

Esta operación tarda alrededor de un minuto en completarse.

Cómo ver las denegaciones de acceso en el panel

Después de configurar el panel de incumplimientos, puedes usarlo para ver los detalles sobre los rechazos de acceso por perímetros de servicio en tu organización.

1. En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

   Ir a los Controles del servicio de VPC

   Si se te solicita, selecciona tu organización. Solo puedes acceder a la página Controles del servicio de VPC a nivel de la organización.

2. En la página Controles del servicio de VPC, haz clic en Panel de incumplimientos. Aparecerá la página Panel de incumplimientos.

En la página Panel de incumplimientos, puedes realizar las siguientes operaciones:

• Filtrado: Con los filtros disponibles en la página, como la política de acceso y el recurso, puedes filtrar y ver datos específicos.

• Intervalos: Para seleccionar el intervalo de tiempo de los datos, haz clic en uno de los intervalos predefinidos. Para definir un período personalizado, haz clic en Personalizado.

• Tablas: Desplázate por la página Panel de incumplimientos para ver los datos categorizados en diferentes tablas. En el panel de incumplimientos, se muestran las siguientes tablas:

  • Incumplimientos

  • Principales incumplimientos por principal

  • Principales incumplimientos por IP de principal

  • Principales incumplimientos por servicio

  • Principales incumplimientos por método

  • Principales incumplimientos por recurso

  • Principales incumplimientos por perímetro de servicio

• Solución de problemas de denegación de acceso: Haz clic en el token de solución de problemas de una denegación de acceso que aparece en la tabla Incumplimientos para diagnosticar la denegación de acceso con el analizador de incumplimientos. Los Controles del servicio de VPC abren el analizador de incumplimientos y muestran el resultado de la solución de problemas de la denegación de acceso.

  Para obtener información sobre el uso del analizador de incumplimientos, consulta Cómo diagnosticar un evento de denegación de acceso con el analizador de incumplimientos de los Controles del servicio de VPC (Versión preliminar).

• Paginación: El panel de incumplimientos pagina los datos que se muestran en todas las tablas. Haz clic en chevron_left y chevron_right para navegar y ver los datos paginados.

• Modifica el receptor del enrutador de registros: Para modificar el receptor del enrutador de registros configurado, haz clic en Editar receptor de registros.

  Para obtener información sobre cómo modificar un receptor de Log Router, consulta Administra receptores.

Solucionar problemas

Si tienes problemas mientras usas el panel de incumplimientos, intenta solucionarlos como se describe en las siguientes secciones.

Un perímetro de servicio denegó el acceso a tu cuenta de usuario

Si encuentras un error debido a que no tienes permisos suficientes, verifica si algún perímetro de servicio dentro de tu organización rechaza el acceso a la API de Cloud Logging. Para resolver este problema, crea una regla de entrada que te permita acceder a la API de Cloud Logging:

1. En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

   Ir a los Controles del servicio de VPC

   Si se te solicita, selecciona tu organización.

2. En la página Controles del servicio de VPC, haz clic en el perímetro de servicio que protege el proyecto que contiene tu bucket de registros.

3. Crea una regla de entrada que te permita acceder a la API de Cloud Logging en el proyecto.

Un perímetro de servicio denegó el acceso al bucket de registros

Si los Controles del servicio de VPC no enrutan tus registros de auditoría al bucket de registro configurado, es posible que debas crear una regla de entrada que permita que la cuenta de servicio del receptor de Log Router acceda a la API de Cloud Logging en tu perímetro de servicio:

1. En la consola de Google Cloud, ve a la página Enrutador de registros.

   Ir a Enrutador de registros

2. En la página Log Router, selecciona Menú more_vert para el receptor de Log Router configurado y, luego, selecciona Ver detalles del receptor.

3. En el cuadro de diálogo Detalles del receptor, en el campo Identidad del escritor, copia la cuenta de servicio que usa el receptor de Log Router.

4. En la consola de Google Cloud, ve a la página Controles del servicio de VPC.

   Ir a los Controles del servicio de VPC

   Si se te solicita, selecciona tu organización.

5. En la página Controles del servicio de VPC, haz clic en el perímetro de servicio que protege el proyecto que contiene tu bucket de registros.

6. Crea una regla de entrada que permita que la cuenta de servicio del sumidero de Log Router acceda a la API de Cloud Logging en el proyecto.

Limitaciones

• Los Controles del servicio de VPC no reabastecen los registros de auditoría de otros buckets a nivel del proyecto:

  • Si creas un bucket de registros nuevo mientras configuras el panel de infracciones, los Controles del servicio de VPC no reabastecen los registros existentes de otros proyectos de tu organización en el bucket de registros recién creado. El panel aparecerá vacío hasta que los controles de servicio de VPC registren incumplimientos nuevos y los enruten al nuevo bucket de registros.

  • Si seleccionas un bucket de registros existente mientras configuras el panel de incumplimientos, el panel mostrará información de todos los registros existentes del bucket de registros seleccionado. El panel no muestra registros de otros proyectos dentro de tu organización porque Controles del servicio de VPC no reabastece estos registros en el bucket de registros seleccionado.

¿Qué sigue?

• Registro de auditoría de los Controles del servicio de VPC
• Diagnostica problemas con el solucionador de problemas de los Controles del servicio de VPC
• Cómo diagnosticar un evento de rechazo de acceso con el analizador de incumplimientos de los Controles del servicio de VPC (versión preliminar)
• Soluciona problemas habituales de los Controles del servicio de VPC con Google Cloud servicios