위반 대시보드 설정 및 보기

이 페이지에서는 VPC 서비스 제어 위반 대시보드를 설정하고 사용하여 조직의 서비스 경계별 액세스 거부에 관한 세부정보를 확인하는 방법을 설명합니다.

비용

VPC 서비스 제어 위반 대시보드를 사용할 때는 Google Cloud의 다음과 같은 청구 가능 구성요소를 사용할 때 발생하는 비용을 고려해야 합니다.

• 위반 대시보드를 설정하는 동안 조직에 Cloud Logging 리소스를 배포하므로 이러한 리소스를 사용하면 비용이 청구됩니다.

• 위반 대시보드에 조직 수준 로그 라우터 싱크를 사용하기 때문에 VPC 서비스 제어는 구성된 로그 버킷에 모든 감사 로그를 복제합니다. 로그 버킷을 사용하면 비용이 발생합니다. 로그 버킷 사용에 따른 예상 비용을 추정하려면 감사 로그의 양을 쿼리하고 계산합니다. 기존 로그 쿼리에 관한 자세한 내용은 로그 보기를 참고하세요.

Cloud Logging 및 Cloud Monitoring 가격 책정에 대한 자세한 내용은 Google Cloud Observability 가격 책정을 참고하세요.

시작하기 전에

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Service Usage API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Service Usage API.

   Enable the API

필요한 역할

• 위반 대시보드를 설정하는 데 필요한 권한을 얻으려면 관리자에게 위반 대시보드 설정 중에 로그 버킷을 구성하는 프로젝트에 대한 Logging Admin (roles/logging.admin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

  이 사전 정의된 역할에는 위반 대시보드를 설정하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

  필수 권한

  위반 대시보드를 설정하려면 다음 권한이 필요합니다.

  • 선택한 프로젝트의 로그 버킷을 나열하려면 다음 단계를 따르세요. logging.buckets.list
  • 새 로그 버킷을 만들려면 다음 단계를 따르세요. logging.buckets.create
  • 선택한 로그 버킷에서 로그 애널리틱스를 사용 설정하려면 다음 단계를 따르세요. logging.buckets.update
  • 새 로그 라우터 싱크를 만들려면 다음 단계를 따르세요. logging.sinks.create

  커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

• 위반 대시보드를 보는 데 필요한 권한을 얻으려면 관리자에게 위반 대시보드 설정 중에 로그 버킷을 구성하는 프로젝트에 다음 IAM 역할을 부여해 달라고 요청하세요.

  • 로그 뷰 접근자 (roles/logging.viewAccessor)
  • VPC 서비스 제어 문제 해결 도구 뷰어 (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

  이러한 사전 정의된 역할에는 위반 대시보드를 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

  필수 권한

  위반 대시보드를 보려면 다음 권한이 필요합니다.

  • 액세스 정책 이름을 표시하려면 다음을 실행합니다. accesscontextmanager.policies.list
  • 프로젝트 이름을 표시하려면 다음 단계를 따르세요. resourcemanager.projects.get

  커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

대시보드 설정하기

위반 대시보드를 설정하려면 VPC 서비스 제어 감사 로그를 집계하는 로그 버킷을 구성하고 모든 VPC 서비스 제어 감사 로그를 로그 버킷으로 라우팅하는 조직 수준 로그 라우터 싱크를 만들어야 합니다.

조직의 위반 대시보드를 설정하려면 다음을 한 번 실행합니다.

1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

   VPC 서비스 제어로 이동

   메시지가 표시되면 조직을 선택합니다. 조직 수준에서만 VPC 서비스 제어 페이지에 액세스할 수 있습니다.

2. VPC 서비스 제어 페이지에서 위반 대시보드를 클릭합니다.

3. 위반 대시보드 설정 페이지의 프로젝트 필드에서 감사 로그를 집계할 로그 버킷이 포함된 프로젝트를 선택합니다.

4. 로그 버킷 필드에서 기존 로그 버킷을 선택하거나 새 로그 버킷 만들기를 선택하여 새 로그 버킷을 만듭니다.

5. 새 로그 버킷을 만드는 경우 로그 버킷 이름 필드에 로그 버킷의 이름을 입력합니다.

6. 로그 라우터 싱크 만들기를 클릭합니다. VPC 서비스 제어는 선택한 프로젝트에 reserved_vpc_sc_dashboard_log_router라는 새 로그 라우터 싱크를 만듭니다.

이 작업을 완료하는 데 1분 정도 걸립니다.

대시보드에서 액세스 거부 보기

위반 대시보드를 설정하면 대시보드를 사용하여 조직의 서비스 경계별 액세스 거부에 관한 세부정보를 볼 수 있습니다.

1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

   VPC 서비스 제어로 이동

   메시지가 표시되면 조직을 선택합니다. 조직 수준에서만 VPC 서비스 제어 페이지에 액세스할 수 있습니다.

2. VPC 서비스 제어 페이지에서 위반 대시보드를 클릭합니다. 위반 대시보드 페이지가 표시됩니다.

위반 대시보드 페이지에서 다음 작업을 할 수 있습니다.

• 필터링: 페이지에서 제공되는 필터(예: 액세스 정책, 리소스)를 사용하여 특정 데이터를 필터링하고 볼 수 있습니다.

• 시간 간격: 데이터의 기간을 선택하려면 사전 정의된 시간 간격 중 하나를 클릭합니다. 맞춤 기간을 정의하려면 맞춤을 클릭합니다.

• 표: 위반 대시보드 페이지를 스크롤하여 여러 표에 분류된 데이터를 확인합니다. 위반 대시보드에는 다음 표가 표시됩니다.

  • 위반

  • 주 구성원별 주요 위반

  • 주 구성원 IP별 주요 위반

  • 서비스별 주요 위반

  • 메서드별 주요 위반

  • 리소스별 주요 위반

  • 서비스 경계별 주요 위반

• 액세스 거부 문제 해결: 위반 표에 나열된 액세스 거부의 문제 해결 토큰을 클릭하여 위반 분석 도구를 사용하여 액세스 거부를 진단합니다. VPC 서비스 제어에서 위반 분석 도구를 열고 액세스 거부의 문제 해결 결과를 표시합니다.

  위반 분석 도구 사용에 관한 자세한 내용은 VPC 서비스 제어 위반 분석 도구를 사용하여 액세스 거부 이벤트 진단 (미리보기)을 참고하세요.

• 페이지로 나누기: 위반 대시보드는 모든 표에 표시되는 데이터를 페이지로 나눕니다. chevron_left 및 chevron_right를 클릭하여 페이지가 생성된 데이터를 탐색하고 확인합니다.

• 로그 라우터 싱크 수정: 구성된 로그 라우터 싱크를 수정하려면 로그 싱크 수정을 클릭합니다.

  로그 라우터 싱크 수정에 관한 자세한 내용은 싱크 관리를 참고하세요.

문제 해결

위반 대시보드를 사용하는 중에 문제가 발생하면 다음 섹션에 설명된 대로 문제를 해결해 보세요.

서비스 경계에서 사용자 계정에 대한 액세스를 거부함

권한이 충분하지 않아 오류가 발생하면 조직 내 서비스 경계에서 Cloud Logging API에 대한 액세스를 거부하고 있는지 확인합니다. 이 문제를 해결하려면 Cloud Logging API에 액세스할 수 있는 인그레스 규칙을 만듭니다.

1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

   VPC 서비스 제어로 이동

   메시지가 표시되면 조직을 선택합니다.

2. VPC 서비스 제어 페이지에서 로그 버킷이 포함된 프로젝트를 보호하는 서비스 경계를 클릭합니다.

3. 프로젝트에서 Cloud Logging API에 액세스할 수 있는 인그레스 규칙을 만듭니다.

서비스 경계에서 로그 버킷에 대한 액세스를 거부함

VPC 서비스 제어에서 감사 로그를 구성된 로그 버킷으로 라우팅하지 않는 경우 로그 라우터 싱크의 서비스 계정이 서비스 경계의 Cloud Logging API에 액세스할 수 있도록 하는 인그레스 규칙을 만들어야 할 수 있습니다.

1. Google Cloud 콘솔에서 로그 라우터 페이지로 이동합니다.

   로그 라우터로 이동

2. 로그 라우터 페이지에서 구성된 로그 라우터 싱크의 more_vert 메뉴를 선택한 다음 싱크 세부정보 보기를 선택합니다.

3. 싱크 세부정보 대화상자의 작성자 ID 필드에서 로그 라우터 싱크가 사용하는 서비스 계정을 복사합니다.

4. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

   VPC 서비스 제어로 이동

   메시지가 표시되면 조직을 선택합니다.

5. VPC 서비스 제어 페이지에서 로그 버킷이 포함된 프로젝트를 보호하는 서비스 경계를 클릭합니다.

6. 로그 라우터 싱크의 서비스 계정이 프로젝트의 Cloud Logging API에 액세스할 수 있도록 인그레스 규칙을 만듭니다.

제한사항

• VPC 서비스 제어는 다른 프로젝트 수준 버킷의 감사 로그를 백필하지 않습니다.

  • 위반 대시보드를 설정하는 동안 새 로그 버킷을 만들면 VPC 서비스 제어에서 조직 내 다른 프로젝트의 기존 로그를 새로 만든 로그 버킷에 백필하지 않습니다. VPC 서비스 제어에서 새 위반사항을 기록하고 이러한 로그를 새 로그 버킷으로 라우팅할 때까지 대시보드는 비어 있는 것처럼 보입니다.

  • 위반 대시보드를 설정하는 동안 기존 로그 버킷을 선택하면 대시보드에 선택한 로그 버킷의 모든 기존 로그 정보가 표시됩니다. VPC 서비스 제어에서 이러한 로그를 선택한 로그 버킷에 백필하지 않으므로 대시보드에는 조직 내 다른 프로젝트의 로그가 표시되지 않습니다.

다음 단계

• VPC 서비스 제어 감사 로깅
• VPC 서비스 제어 문제 해결 도구를 사용하여 문제 진단
• VPC 서비스 제어 위반 분석 도구를 사용하여 액세스 거부 이벤트 진단 (미리보기)
• Google Cloud 서비스의 일반적인 VPC 서비스 제어 문제 해결