違反ダッシュボードを設定して表示する

このページでは、VPC Service Controls 違反ダッシュボードを設定して使用し、組織のサービス境界によるアクセス拒否の詳細を表示する方法について説明します。

費用

VPC Service Controls の違反ダッシュボードを使用する場合は、 Google Cloudの次の課金対象コンポーネントの使用に伴う費用を考慮する必要があります。

• 違反ダッシュボードを設定するときに組織に Cloud Logging リソースをデプロイするため、これらのリソースの使用に対して料金が発生します。

• 違反ダッシュボードに組織レベルのログルーター シンクを使用するため、VPC Service Controls は構成されたログバケットにすべての監査ログを複製します。ログバケットの使用には費用が発生します。ログバケットの使用に伴う費用を見積もるには、監査ログの量をクエリして計算します。既存のログのクエリの詳細については、ログを表示するをご覧ください。

Cloud Logging と Cloud Monitoring の料金については、Google Cloud Observability の料金をご覧ください。

始める前に

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Service Usage API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Service Usage API.

   Enable the API

必要なロール

• 違反ダッシュボードの設定に必要な権限を取得するには、違反ダッシュボードの設定中にログバケットを構成するプロジェクトに対する Logging 管理者 （roles/logging.admin）IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

  この事前定義ロールには、違反ダッシュボードの設定に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

  必要な権限

  違反ダッシュボードを設定するには、次の権限が必要です。

  • 選択したプロジェクトのログバケットを一覧表示するには、次のようにします。 logging.buckets.list
  • 新しいログバケットを作成するには: logging.buckets.create
  • 選択したログバケットでログ分析を有効にするには: logging.buckets.update
  • 新しいログルーター シンクを作成するには: logging.sinks.create

  カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

• 違反ダッシュボードを表示するために必要な権限を取得するには、違反ダッシュボードの設定時にログバケットを構成するプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

  • ログ表示アクセス者（roles/logging.viewAccessor）
  • VPC Service Controls トラブルシューティング閲覧者 （roles/accesscontextmanager.vpcScTroubleshooterViewer）

  ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

  これらの事前定義ロールには、違反ダッシュボードの表示に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

  必要な権限

  違反ダッシュボードを表示するには、次の権限が必要です。

  • アクセス ポリシー名を表示するには: accesscontextmanager.policies.list
  • プロジェクト名を表示するには: resourcemanager.projects.get

  カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

ダッシュボードを設定する

違反ダッシュボードを設定するには、ログバケットを構成して VPC Service Controls 監査ログを集約し、すべての VPC Service Controls 監査ログをログバケットに転送する組織レベルのログルーター シンクを作成する必要があります。

組織の違反ダッシュボードをセットアップするには、次の手順を 1 回行います。

1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

   [VPC Service Controls] に移動

   プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページには組織レベルでのみアクセスできます。

2. [VPC Service Controls] ページで、[違反ダッシュボード] をクリックします。

3. [違反ダッシュボードの設定] ページの [プロジェクト] フィールドで、監査ログを集約するログバケットを含むプロジェクトを選択します。

4. [ログバケット] フィールドで、既存のログバケットを選択するか、[新しいログバケットを作成] を選択して新しいログバケットを作成します。

5. 新しいログバケットを作成する場合は、[ログバケット名] フィールドにログバケットの名前を入力します。

6. [ログルーター シンクの作成] をクリックします。VPC Service Controls は、選択したプロジェクトに reserved_vpc_sc_dashboard_log_router という名前の新しいログルーター シンクを作成します。

このオペレーションが完了するまでに約 1 分かかります。

ダッシュボードでアクセス拒否を表示する

違反ダッシュボードを設定したら、ダッシュボードを使用して、組織内のサービス境界によるアクセス拒否の詳細を表示できます。

1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

   [VPC Service Controls] に移動

   プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページには組織レベルでのみアクセスできます。

2. [VPC Service Controls] ページで、[違反ダッシュボード] をクリックします。[違反ダッシュボード] ページが表示されます。

[違反ダッシュボード] ページでは、次の操作を行うことができます。

• フィルタリング: ページで利用可能なフィルタ（アクセス ポリシー、リソースなど）を使用して、特定のデータをフィルタして表示できます。

• 期間: データの期間を選択するには、定義済みの期間のいずれかをクリックします。カスタムの期間を定義するには、[カスタム] をクリックします。

• 表: [違反ダッシュボード] ページをスクロールして、さまざまな表に分類されたデータを表示します。違反ダッシュボードには、次の表が表示されます。

  • 違反

  • プリンシパル別の上位の違反

  • プリンシパル IP 別の上位の違反

  • サービス別の上位の違反

  • メソッド別の上位の違反

  • リソース別の上位の違反

  • サービス境界別の上位の違反

• アクセス拒否のトラブルシューティング: [違反] テーブルに表示されているアクセス拒否のトラブルシューティング トークンをクリックして、違反アナライザを使用してアクセス拒否を診断します。VPC Service Controls が違反アナライザを開き、アクセス拒否のトラブルシューティング結果を表示します。

  違反アナライザの使用方法については、VPC Service Controls 違反アナライザを使用してアクセス拒否イベントを診断する（プレビュー）をご覧ください。

• ページ設定: 違反ダッシュボードでは、すべてのテーブルに表示されるデータがページ設定されます。chevron_left と chevron_right をクリックして、ページネーションされたデータを移動して表示します。

• ログルーター シンクを変更する: 構成済みのログルーター シンクを変更するには、[ログシンクを編集] をクリックします。

  Log Router シンクの変更については、シンクを管理するをご覧ください。

トラブルシューティング

違反ダッシュボードの使用中に問題が発生した場合は、次のセクションで説明するようにトラブルシューティングを行い、問題を解決してください。

サービス境界でユーザー アカウントへのアクセスが拒否された

権限が不十分なためにエラーが発生した場合は、組織内のサービス境界で Cloud Logging API へのアクセスが拒否されているかどうかを確認します。この問題を解決するには、Cloud Logging API にアクセスできるように上り（内向き）ルールを作成します。

1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

   [VPC Service Controls] に移動

   プロンプトが表示されたら、組織を選択します。

2. [VPC Service Controls] ページで、ログバケットを含むプロジェクトを保護するサービス境界をクリックします。

3. プロジェクトで Cloud Logging API にアクセスできるように上り（内向き）ルールを作成します。

サービス境界によってログバケットへのアクセスが拒否された

VPC Service Controls が監査ログを構成済みのログバケットに転送しない場合は、Log Router シンクのサービス アカウントがサービス境界内の Cloud Logging API にアクセスできるように、上り（内向き）ルールを作成する必要があります。

1. Google Cloud コンソールで、[ログルーター] ページに移動します。

   [ログルーター] に移動

2. [ログルーター] ページで、構成済みのログルーター シンクの [more_vert メニュー]、[シンクの詳細を表示] の順に選択します。

3. [シンクの詳細] ダイアログの [書き込み ID] フィールドから、Log Router シンクが使用するサービス アカウントをコピーします。

4. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

   [VPC Service Controls] に移動

   プロンプトが表示されたら、組織を選択します。

5. [VPC Service Controls] ページで、ログバケットを含むプロジェクトを保護するサービス境界をクリックします。

6. Log Router シンクのサービス アカウントがプロジェクト内の Cloud Logging API にアクセスできるように、上り（内向き）ルールを作成します。

制限事項

• VPC Service Controls は、他のプロジェクト レベルのバケットから監査ログをバックフィルしません。

  • 違反ダッシュボードの設定中に新しいログバケットを作成した場合、VPC Service Controls は組織内の他のプロジェクトの既存のログを新しく作成されたログバケットにバックフィルしません。VPC Service Controls が新しい違反をログに記録し、これらのログを新しいログバケットに転送するまで、ダッシュボードは空白になります。

  • 違反ダッシュボードの設定時に既存のログバケットを選択すると、選択したログバケットの既存のログの情報がダッシュボードに表示されます。VPC Service Controls はこれらのログを選択したログバケットにバックフィルしないため、ダッシュボードには組織内の他のプロジェクトのログは表示されません。

次のステップ

• VPC Service Controls 監査ロギング
• VPC Service Controls のトラブルシューティングで問題を診断する
• VPC Service Controls 違反アナライザを使用してアクセス拒否イベントを診断する（プレビュー）
• Google Cloud サービスでの VPC Service Controls の一般的な問題のトラブルシューティング