设置和查看违规信息中心

本页介绍了如何设置和使用 VPC Service Controls 违规信息中心，以查看组织中服务边界拒绝访问的详细信息。

费用

使用 VPC Service Controls 违规情况信息中心时，您需要考虑使用 Google Cloud的以下可计费组件所产生的费用：

• 由于您在设置违规情况信息中心时会在组织中部署 Cloud Logging 资源，因此您需要为使用这些资源支付费用。

• 由于您为违规情况信息中心使用了组织级日志路由器接收器，因此 VPC Service Controls 会在配置的日志存储分区中复制您的所有审核日志。您需要为使用日志存储分区支付费用。如需估算使用日志分桶的潜在费用，请查询并计算审核日志的量。如需详细了解如何查询现有日志，请参阅查看日志。

如需了解 Cloud Logging 和 Cloud Monitoring 的价格，请参阅 Google Cloud Observability 价格。

准备工作

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Service Usage API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Service Usage API.

   Enable the API

所需的角色

• 如需获得设置违规信息中心所需的权限，请让您的管理员为您授予您在违规信息中心设置过程中配置日志存储分区的项目的 Logging Admin (roles/logging.admin) IAM 角色。 如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

  此预定义角色包含设置违规情况信息中心所需的权限。如需查看所需的确切权限，请展开所需权限部分：

  所需权限

  如需设置违规情况信息中心，您需要具备以下权限：

  • 如需列出所选项目中的日志存储分区，请执行以下操作： logging.buckets.list
  • 如需创建新的日志存储分区，请执行以下操作： logging.buckets.create
  • 如需在所选日志存储分区中启用 Log Analytics，请执行以下操作： logging.buckets.update
  • 如需创建新的日志路由器接收器，请执行以下操作： logging.sinks.create

  您也可以使用自定义角色或其他预定义角色来获取这些权限。

• 如需获得查看违规信息中心所需的权限，请让管理员向您授予您在违规信息中心设置过程中配置日志存储分区的项目的以下 IAM 角色：

  • Logs View Accessor (roles/logging.viewAccessor)
  • VPC Service Controls Troubleshooter Viewer (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

  这些预定义角色包含查看违规情况信息中心所需的权限。如需查看所需的确切权限，请展开所需权限部分：

  所需权限

  您需要具备以下权限才能查看违规信息中心：

  • 如需显示访问权限政策名称，请执行以下操作： accesscontextmanager.policies.list
  • 如需显示项目名称，请执行以下操作： resourcemanager.projects.get

  您也可以使用自定义角色或其他预定义角色来获取这些权限。

设置信息中心

如需设置违规情况信息中心，您需要配置日志桶来汇总 VPC Service Controls 审核日志，并创建一个组织级日志路由器接收器，将所有 VPC Service Controls 审核日志路由到该日志桶。

如需为贵组织设置违规信息中心，请执行以下操作一次：

1. 在 Google Cloud 控制台中，转到 VPC Service Controls 页面。

   转到 VPC Service Controls

   如果收到提示，请选择您的组织。 您只能在组织级层访问 VPC Service Controls 页面。

2. 在 VPC Service Controls 页面上，点击违规情况信息中心。

3. 在违规行为信息中心设置页面上的项目字段中，选择包含要汇总审核日志的日志分桶的项目。

4. 在日志存储分区字段中，选择现有日志存储分区，或选择创建新的日志存储分区以创建新的日志存储分区。

5. 如果您要创建新的日志存储分区，请在日志存储分区名称字段中输入日志存储分区的名称。

6. 点击创建日志路由器接收器。VPC Service Controls 会在所选项目中创建一个名为 reserved_vpc_sc_dashboard_log_router 的新日志路由器接收器。

此操作大约需要一分钟才能完成。

在信息中心内查看访问权限被拒绝的情况

设置违规信息中心后，您可以使用该信息中心查看贵组织中服务边界拒绝访问的详细信息。

1. 在 Google Cloud 控制台中，转到 VPC Service Controls 页面。

   转到 VPC Service Controls

   如果收到提示，请选择您的组织。 您只能在组织级层访问 VPC Service Controls 页面。

2. 在 VPC Service Controls 页面上，点击违规情况信息中心。系统随即会显示违规信息中心页面。

在违规信息中心页面上，您可以执行以下操作：

• 过滤：您可以使用页面上提供的过滤条件（例如访问权限政策、资源）过滤和查看特定数据。

• 时间间隔：如需选择数据的时间范围，请点击其中一个预定义的时间间隔。如需指定自定义时间范围，请点击自定义。

• 表格：滚动违规信息中心页面，查看分门别类显示在不同表格中的数据。违规信息中心会显示以下表格：

  • 违规

  • 违规次数最多的主账号

  • 违规次数最多的主账号 IP

  • 违规次数最多的服务

  • 违规次数最多的方法

  • 违规次数最多的资源

  • 违规次数最多的服务边界

• 排查被拒访问问题：点击违规表格中列出的被拒访问问题的“问题排查令牌”，使用违规分析器诊断被拒访问问题。VPC Service Controls 会打开违规分析器，并显示访问权限被拒的排查结果。

  如需了解如何使用违规分析器，请参阅使用 VPC Service Controls 违规分析器诊断访问权限被拒事件（预览版）。

• 分页：违规情况信息中心会对所有表中显示的数据进行分页。点击 chevron_left 和 chevron_right 可浏览和查看分页数据。

• 修改日志路由器接收器：如需修改已配置的日志路由器接收器，请点击修改日志接收器。

  如需了解如何修改日志路由器接收器，请参阅管理接收器。

问题排查

如果您在使用违规情况信息中心时遇到问题，请尝试按照以下部分中所述的方式排查和解决问题。

服务边界拒绝了对您的用户账号的访问权限

如果您因权限不足而遇到错误，请检查贵组织中的任何服务边界是否拒绝对 Cloud Logging API 的访问。如需解决此问题，请创建一个入站规则，以便您访问 Cloud Logging API：

1. 在 Google Cloud 控制台中，转到 VPC Service Controls 页面。

   转到 VPC Service Controls

   如果收到提示，请选择您的组织。

2. 在 VPC Service Controls 页面上，点击用于保护包含日志存储分区的项目的服务边界。

3. 创建入站规则，以便您在项目中访问 Cloud Logging API。

服务边界拒绝了对日志存储分区的访问

如果 VPC Service Controls 未将审核日志路由到配置的日志存储分区，您可能需要创建一条入站规则，允许日志路由接收器的服务账号访问服务边界中的 Cloud Logging API：

1. 在 Google Cloud 控制台中，转到日志路由器页面。

   转到日志路由器

2. 在日志路由器页面上，针对已配置的日志路由器接收器选择 more_vert 菜单，然后选择查看接收器详情。

3. 在接收器详情对话框中，从写入者身份字段复制日志路由器接收器使用的服务账号。

4. 在 Google Cloud 控制台中，转到 VPC Service Controls 页面。

   转到 VPC Service Controls

   如果收到提示，请选择您的组织。

5. 在 VPC Service Controls 页面上，点击用于保护包含日志存储分区的项目的服务边界。

6. 创建入站规则，允许日志路由器接收器的服务账号访问项目中的 Cloud Logging API。

限制

• VPC Service Controls 不会从其他项目级存储分区回填审核日志：

  • 如果您在设置违规信息中心时创建了新的日志存储分区，VPC Service Controls 不会将组织中其他项目中的现有日志回填到新创建的日志存储分区中。在 VPC 服务控制记录新违规行为并将这些日志路由到新日志存储分区之前，信息中心会显示为空。

  • 如果您在设置违规情况信息中心时选择了现有日志存储分区，信息中心会显示所选日志存储分区中的所有现有日志的相关信息。该信息中心不会显示组织中其他项目的日志，因为 VPC 服务控制功能不会将这些日志回填到所选的日志存储分区中。

后续步骤

• VPC Service Controls 审核日志记录
• 使用 VPC Service Controls 问题排查工具进行问题诊断
• 使用 VPC Service Controls 违规分析器诊断访问权限被拒事件（预览版）
• 排查 Google Cloud 服务的常见 VPC Service Controls 问题