Configurare e visualizzare la dashboard delle violazioni

Questa pagina descrive come configurare e utilizzare la dashboard delle violazioni di VPC Service Controls per visualizzare i dettagli sui rifiuti di accesso per perimetro di servizio nella tua organizzazione.

Costo

Quando utilizzi la dashboard delle violazioni di VPC Service Controls, devi prendere in considerazione il costo che sostieni per l'utilizzo dei seguenti componenti fatturabili di Google Cloud:

• Poiché esegui il deployment delle risorse Cloud Logging nella tua organizzazione durante la configurazione della dashboard delle violazioni, devi sostenere un costo per l'utilizzo di queste risorse.

• Poiché utilizzi un sink del router dei log a livello di organizzazione per la dashboard delle violazioni, VPC Service Controls duplica tutti gli audit log nel bucket di log configurato. L'utilizzo del bucket di log comporta un costo. Per stimare il potenziale costo dell'utilizzo del bucket di log, esegui query e calcola il volume dei log di controllo. Per ulteriori informazioni su come eseguire query sui log esistenti, consulta Visualizzare i log.

Per informazioni sui prezzi di Cloud Logging e Cloud Monitoring, consulta Prezzi di Google Cloud Observability.

Prima di iniziare

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Service Usage API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Service Usage API.

   Enable the API

Ruoli obbligatori

• Per ottenere le autorizzazioni necessarie per configurare la dashboard delle violazioni, chiedi all'amministratore di concederti il ruolo IAM Amministratore di log (roles/logging.admin) nel progetto in cui configuri un bucket di log durante la configurazione della dashboard delle violazioni. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

  Questo ruolo predefinito contiene le autorizzazioni necessarie per configurare la dashboard delle violazioni. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

  Autorizzazioni obbligatorie

  Per configurare la dashboard delle violazioni sono necessarie le seguenti autorizzazioni:

  • Per elencare i bucket di log del progetto selezionato: logging.buckets.list
  • Per creare un nuovo bucket di log: logging.buckets.create
  • Per attivare Analisi dei log nel bucket di log selezionato: logging.buckets.update
  • Per creare un nuovo sink del router dei log: logging.sinks.create

  Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

• Per ottenere le autorizzazioni necessarie per visualizzare la dashboard delle violazioni, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto in cui configuri un bucket di log durante la configurazione della dashboard delle violazioni:

  • Logs View Accessor (roles/logging.viewAccessor)
  • Visualizzatore dello strumento per la risoluzione dei problemi Controlli di servizio VPC (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

  Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare la dashboard delle violazioni. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

  Autorizzazioni obbligatorie

  Per visualizzare la dashboard delle violazioni sono necessarie le seguenti autorizzazioni:

  • Per visualizzare i nomi dei criteri di accesso: accesscontextmanager.policies.list
  • Per visualizzare i nomi dei progetti: resourcemanager.projects.get

  Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Configurare la dashboard

Per configurare la dashboard delle violazioni, devi configurare un bucket di log per aggregare gli audit log di VPC Service Controls e creare un sink del router dei log a livello di organizzazione che indirizzi tutti gli audit log di VPC Service Controls al bucket di log.

Per configurare la dashboard delle violazioni per la tua organizzazione, svolgi una sola volta i seguenti passaggi:

1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

   Vai a Controlli di servizio VPC

   Se ti viene chiesto, seleziona la tua organizzazione. Puoi accedere alla pagina Controlli di servizio VPC solo a livello di organizzazione.

2. Nella pagina Controlli di servizio VPC, fai clic su Dashboard delle violazioni.

3. Nella pagina Configurazione della dashboard delle violazioni, nel campo Progetto, seleziona il progetto che contiene il bucket dei log in cui vuoi aggregare i log di controllo.

4. Nel campo Bucket di log, seleziona un bucket di log esistente o Crea nuovo bucket di log per crearne uno nuovo.

5. Se crei un nuovo bucket di log, inserisci un nome nel campo Nome del bucket di log.

6. Fai clic su Crea sink del router dei log. VPC Service Controls crea un nuovo sink del router dei log denominato reserved_vpc_sc_dashboard_log_router nel progetto selezionato.

Il completamento dell'operazione richiede circa un minuto.

Visualizzare i rifiuti di accesso nella dashboard

Dopo aver configurato la dashboard delle violazioni, puoi utilizzarla per visualizzare i dettagli sui rifiuti di accesso per perimetro di servizio nella tua organizzazione.

1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

   Vai a Controlli di servizio VPC

   Se ti viene chiesto, seleziona la tua organizzazione. Puoi accedere alla pagina Controlli di servizio VPC solo a livello di organizzazione.

2. Nella pagina Controlli di servizio VPC, fai clic su Dashboard delle violazioni. Viene visualizzata la pagina Dashboard violazioni.

Nella pagina Dashboard delle violazioni, puoi eseguire le seguenti operazioni:

• Filtro:utilizzando i filtri disponibili nella pagina, ad esempio criteri di accesso, risorsa, puoi filtrare e visualizzare dati specifici.

• Intervalli di tempo:per selezionare l'intervallo di tempo per i dati, fai clic su uno degli intervalli di tempo predefiniti. Per definire un intervallo di tempo personalizzato, fai clic su Personalizzato.

• Tabelle:scorri la pagina Dashboard delle violazioni per visualizzare i dati classificati in diverse tabelle. La dashboard delle violazioni mostra le seguenti tabelle:

  • Violazioni

  • Violazioni principali per entità

  • Violazioni principali per IP entità

  • Violazioni principali per servizio

  • Violazioni principali per metodo

  • Violazioni principali per risorsa

  • Violazioni principali per perimetro di servizio

• Risolvi i problemi di rifiuto di accesso:fai clic sul token per la risoluzione dei problemi di un rifiuto di accesso elencato nella tabella Violazioni per diagnosticare il rifiuto di accesso utilizzando lo strumento di analisi delle violazioni. Controlli di servizio VPC apre l'analizzatore delle violazioni e mostra il risultato della risoluzione dei problemi della mancata autorizzazione di accesso.

  Per informazioni sull'utilizzo dell'analizzatore delle violazioni, consulta Diagnosticare un evento di rifiuto di accesso utilizzando l'analizzatore delle violazioni di VPC Service Controls (anteprima).

• Numerazione pagina:la dashboard delle violazioni suddivide in pagine i dati visualizzati in tutte le tabelle. Fai clic su chevron_left e chevron_right per spostarti e visualizzare i dati paginati.

• Modifica il sink del router dei log:per modificare il sink del router dei log configurato, fai clic su Modifica il sink dei log.

  Per informazioni sulla modifica di un sink Log Router, consulta Gestire i sink.

Risoluzione dei problemi

Se riscontri problemi durante l'utilizzo della dashboard delle violazioni, prova a risolvere i problemi come descritto nelle sezioni seguenti.

Un perimetro di servizio ha negato l'accesso al tuo account utente

Se si verifica un errore a causa di autorizzazioni insufficienti, controlla se un perimetro di servizio all'interno della tua organizzazione nega l'accesso all'API Cloud Logging. Per risolvere il problema, crea una regola di ingresso che ti consenta di accedere all'API Cloud Logging:

1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

   Vai a Controlli di servizio VPC

   Se ti viene chiesto, seleziona la tua organizzazione.

2. Nella pagina Controlli di servizio VPC, fai clic sul perimetro di servizio che protegge il progetto contenente il bucket dei log.

3. Crea una regola di ingresso che ti consenta di accedere all'API Cloud Logging nel progetto.

Un perimetro di servizio ha negato l'accesso al bucket di log

Se Controlli di servizio VPC non inoltra i log di controllo al bucket di log configurato, potrebbe essere necessario creare una regola di ingresso che consenta all'account di servizio del flusso di Log Router di accedere all'API Cloud Logging nel perimetro del servizio:

1. Nella console Google Cloud, vai alla pagina Log Router.

   Vai a Router dei log

2. Nella pagina Log Router, seleziona more_vert Menu per l'emissario Log Router configurato e poi Visualizza dettagli dell'emissario.

3. Nella finestra di dialogo Dettagli sink, copia l'account di servizio utilizzato dal sink Log Router dal campo Identità autore.

4. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

   Vai a Controlli di servizio VPC

   Se ti viene chiesto, seleziona la tua organizzazione.

5. Nella pagina Controlli di servizio VPC, fai clic sul perimetro di servizio che protegge il progetto contenente il bucket dei log.

6. Crea una regola di ingresso che consenta all'account di servizio del sink Log Router di accedere all'API Cloud Logging nel progetto.

Limitazioni

• Controlli di servizio VPC non esegue il backfill degli audit log da altri bucket a livello di progetto:

  • Se crei un nuovo bucket di log durante la configurazione della dashboard delle violazioni, VPC Service Controls non esegue il backfill dei log esistenti di altri progetti all'interno della tua organizzazione nel bucket di log appena creato. La dashboard appare vuota finché Controlli di servizio VPC non registra nuove violazioni e inoltra questi log al nuovo bucket di log.

  • Se selezioni un bucket di log esistente durante la configurazione della dashboard delle violazioni, la dashboard mostra le informazioni di tutti i log esistenti del bucket di log selezionato. La dashboard non mostra i log di altri progetti all'interno della tua organizzazione perché VPC Service Controls non esegue il backfill di questi log nel bucket di log selezionato.

Passaggi successivi

• Logging di controllo di VPC Service Controls
• Diagnostica dei problemi mediante lo strumento per la risoluzione dei problemi Controlli di servizio VPC
• Diagnostica un evento di rifiuto di accesso utilizzando l'analizzatore delle violazioni dei Controlli di servizio VPC (anteprima)
• Risolvere i problemi comuni dei Controlli di servizio VPC relativi ai Google Cloud servizi