Menyiapkan dan melihat dasbor pelanggaran

Halaman ini menjelaskan cara menyiapkan dan menggunakan dasbor pelanggaran Kontrol Layanan VPC untuk melihat detail tentang penolakan akses berdasarkan perimeter layanan di organisasi Anda.

Biaya

Saat menggunakan dasbor pelanggaran Kontrol Layanan VPC, Anda perlu mempertimbangkan biaya yang Anda keluarkan untuk menggunakan komponen Google Cloudyang dapat ditagih berikut:

• Karena Anda men-deploy resource Cloud Logging di organisasi saat menyiapkan dasbor pelanggaran, Anda akan dikenai biaya untuk menggunakan resource ini.

• Karena Anda menggunakan sink Log Router tingkat organisasi untuk dasbor pelanggaran, Kontrol Layanan VPC akan menduplikasi semua log audit Anda di bucket log yang dikonfigurasi. Anda akan dikenai biaya untuk menggunakan bucket log. Untuk memperkirakan potensi biaya penggunaan bucket log, buat kueri dan hitung volume log audit Anda. Untuk mengetahui informasi selengkapnya tentang cara membuat kueri log yang ada, lihat Melihat log.

Untuk mengetahui informasi tentang harga Cloud Logging dan Cloud Monitoring, lihat harga Google Cloud Observability.

Sebelum memulai

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Service Usage API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Service Usage API.

   Enable the API

Peran yang diperlukan

• Untuk mendapatkan izin yang diperlukan guna menyiapkan dasbor pelanggaran, minta administrator untuk memberi Anda peran IAM Logging Admin (roles/logging.admin) di project tempat Anda mengonfigurasi bucket log selama penyiapan dasbor pelanggaran. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

  Peran bawaan ini berisi izin yang diperlukan untuk menyiapkan dasbor pelanggaran. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

  Izin yang diperlukan

  Izin berikut diperlukan untuk menyiapkan dasbor pelanggaran:

  • Untuk mencantumkan bucket log dari project yang dipilih: logging.buckets.list
  • Untuk membuat bucket log baru: logging.buckets.create
  • Untuk mengaktifkan Log Analytics di bucket log yang dipilih: logging.buckets.update
  • Untuk membuat sink Router Log baru: logging.sinks.create

  Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

• Untuk mendapatkan izin yang Anda perlukan guna melihat dasbor pelanggaran, minta administrator untuk memberi Anda peran IAM berikut pada project tempat Anda mengonfigurasi bucket log selama penyiapan dasbor pelanggaran:

  • Logs View Accessor (roles/logging.viewAccessor)
  • VPC Service Controls Troubleshooter Viewer (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

  Peran bawaan ini berisi izin yang diperlukan untuk melihat dasbor pelanggaran. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

  Izin yang diperlukan

  Izin berikut diperlukan untuk melihat dasbor pelanggaran:

  • Untuk menampilkan nama kebijakan akses: accesscontextmanager.policies.list
  • Untuk menampilkan nama project: resourcemanager.projects.get

  Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Menyiapkan dasbor

Untuk menyiapkan dasbor pelanggaran, Anda perlu mengonfigurasi bucket log untuk menggabungkan log audit Kontrol Layanan VPC dan membuat sink Log Router tingkat organisasi yang akan merutekan semua log audit Kontrol Layanan VPC ke bucket log.

Untuk menyiapkan dasbor pelanggaran bagi organisasi Anda, lakukan tindakan berikut satu kali:

1. Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.

   Buka Kontrol Layanan VPC

   Jika diminta, pilih organisasi Anda. Anda hanya dapat mengakses halaman Kontrol Layanan VPC di tingkat organisasi.

2. Di halaman VPC Service Controls, klik Violation dashboard.

3. Di halaman Penyiapan dasbor pelanggaran, di kolom Project, pilih project yang berisi bucket log tempat Anda ingin menggabungkan log audit.

4. Di kolom Log bucket, pilih bucket log yang ada atau pilih Create log bucket untuk membuat bucket log baru.

5. Jika Anda membuat bucket log baru, di kolom Nama bucket log, masukkan nama untuk bucket log Anda.

6. Klik Create log router sink. VPC Service Controls membuat sink Log Router baru bernama reserved_vpc_sc_dashboard_log_router di project yang dipilih.

Operasi ini memerlukan waktu sekitar satu menit.

Melihat penolakan akses di dasbor

Setelah menyiapkan dasbor pelanggaran, Anda dapat menggunakan dasbor untuk melihat detail tentang penolakan akses menurut perimeter layanan di organisasi Anda.

1. Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.

   Buka Kontrol Layanan VPC

   Jika diminta, pilih organisasi Anda. Anda hanya dapat mengakses halaman Kontrol Layanan VPC di tingkat organisasi.

2. Di halaman VPC Service Controls, klik Violation dashboard. Halaman Dasbor pelanggaran akan muncul.

Di halaman Dasbor pelanggaran, Anda dapat melakukan operasi berikut:

• Pemfilteran: Dengan menggunakan filter yang tersedia di halaman seperti kebijakan akses, resource, Anda dapat memfilter dan melihat data tertentu.

• Interval waktu: Untuk memilih rentang waktu data, klik salah satu interval waktu yang telah ditentukan sebelumnya. Untuk menentukan rentang waktu kustom, klik Kustom.

• Tabel: Scroll halaman Dasbor pelanggaran untuk melihat data yang dikategorikan dalam tabel yang berbeda. Dasbor pelanggaran menampilkan tabel berikut:

  • Pelanggaran

  • Pelanggaran teratas menurut akun utama

  • Pelanggaran teratas menurut IP utama

  • Pelanggaran teratas menurut layanan

  • Pelanggaran teratas menurut metode

  • Pelanggaran teratas berdasarkan resource

  • Pelanggaran teratas menurut perimeter layanan

• Memecahkan masalah penolakan akses: Klik token pemecahan masalah penolakan akses yang tercantum dalam tabel Pelanggaran untuk mendiagnosis penolakan akses menggunakan penganalisis pelanggaran. Kontrol Layanan VPC akan membuka penganalisis pelanggaran dan menampilkan hasil pemecahan masalah penolakan akses.

  Untuk informasi tentang cara menggunakan penganalisis pelanggaran, lihat Mendiagnosis peristiwa penolakan akses menggunakan penganalisis pelanggaran Kontrol Layanan VPC (Pratinjau).

• Penomoran halaman: Dasbor pelanggaran membuat penomoran halaman untuk data yang ditampilkan di semua tabel. Klik chevron_left dan chevron_right untuk menavigasi dan melihat data yang di-paging.

• Ubah sink Router Log: Untuk mengubah sink Router Log yang dikonfigurasi, klik Edit sink log.

  Untuk mengetahui informasi tentang cara mengubah sink Log Router, lihat Mengelola sink.

Memecahkan masalah

Jika Anda mengalami masalah saat menggunakan dasbor pelanggaran, coba pecahkan masalah dan selesaikan masalah tersebut seperti yang dijelaskan di bagian berikut.

Perimeter layanan menolak akses ke akun pengguna Anda

Jika Anda mengalami error karena izin tidak memadai, periksa apakah ada perimeter layanan dalam organisasi Anda yang menolak akses ke Cloud Logging API. Untuk mengatasi masalah ini, buat aturan ingress yang memungkinkan Anda mengakses Cloud Logging API:

1. Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.

   Buka Kontrol Layanan VPC

   Jika diminta, pilih organisasi Anda.

2. Di halaman Kontrol Layanan VPC, klik perimeter layanan yang melindungi project yang berisi bucket log Anda.

3. Buat aturan masuk yang memungkinkan Anda mengakses Cloud Logging API dalam project.

Perimeter layanan menolak akses ke bucket log

Jika Kontrol Layanan VPC tidak merutekan log audit ke bucket log yang dikonfigurasi, Anda mungkin harus membuat aturan masuk yang mengizinkan akun layanan sink Log Router untuk mengakses Cloud Logging API di perimeter layanan Anda:

1. Di konsol Google Cloud, buka halaman Log Router.

   Buka Router Log

2. Di halaman Log Router, pilih more_vert Menu untuk sink Log Router yang dikonfigurasi, lalu pilih Lihat detail sink.

3. Dalam dialog Detail sink, dari kolom Identitas penulis, salin akun layanan yang digunakan sink Log Router.

4. Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.

   Buka Kontrol Layanan VPC

   Jika diminta, pilih organisasi Anda.

5. Di halaman Kontrol Layanan VPC, klik perimeter layanan yang melindungi project yang berisi bucket log Anda.

6. Buat aturan masuk yang memungkinkan akun layanan sink Log Router mengakses Cloud Logging API dalam project.

Batasan

• Kontrol Layanan VPC tidak mengisi ulang log audit dari bucket tingkat project lainnya:

  • Jika Anda membuat bucket log baru saat menyiapkan dasbor pelanggaran, Kontrol Layanan VPC tidak akan mengisi ulang log yang ada dari project lain dalam organisasi Anda ke bucket log yang baru dibuat. Dasbor akan tampak kosong hingga Kontrol Layanan VPC mencatat pelanggaran baru dan merutekan log ini ke bucket log baru.

  • Jika Anda memilih bucket log yang ada saat menyiapkan dasbor pelanggaran, dasbor akan menampilkan informasi semua log yang ada dari bucket log yang dipilih. Dasbor tidak menampilkan log dari project lain dalam organisasi Anda karena Kontrol Layanan VPC tidak mengisi ulang log ini ke bucket log yang dipilih.

Langkah berikutnya

• Logging audit Kontrol Layanan VPC
• Mendiagnosis masalah menggunakan pemecah masalah Kontrol Layanan VPC
• Mendiagnosis peristiwa penolakan akses menggunakan penganalisis pelanggaran Kontrol Layanan VPC (Pratinjau)
• Memecahkan masalah umum Kontrol Layanan VPC dengan Google Cloud layanan