Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Recupera gli errori dei Controlli di servizio VPC dagli audit log

Questa pagina descrive come trovare gli errori dei Controlli di servizio VPC utilizzando Cloud Logging.

I Controlli di servizio VPC contribuiscono a mitigare i rischi di esfiltrazione di dati isolando i servizi Cloud de Confiance by S3NS multi-tenant. Per saperne di più, consulta la panoramica dei Controlli di servizio VPC.

Determina se un errore è dovuto ai Controlli di servizio VPC

I Controlli di servizio VPC possono modificare le proprietà di Cloud de Confiance by S3NS e avere effetti a cascata sui servizi. Ciò può rendere difficile il debug dei problemi, soprattutto se non sai cosa cercare.

La propagazione e l'applicazione delle modifiche al perimetro di servizio possono richiedere fino a 30 minuti. Una volta propagate le modifiche, l'accesso ai servizi limitati nel perimetro non può superare il confine del perimetro, a meno che non sia esplicitamente autorizzato.

Per determinare se un errore è correlato ai Controlli di servizio VPC, verifica se hai abilitato i Controlli di servizio VPC e se li hai applicati ai progetti e ai servizi che stai tentando di utilizzare. Per verificare se i progetti e i servizi sono protetti dai Controlli di servizio VPC, controlla la policy dei Controlli di servizio VPC a quel livello della gerarchia delle risorse.

Considera uno scenario di esempio in cui utilizzi indirettamente un servizio contrassegnato come servizio limitato dai Controlli di servizio VPC in un progetto all'interno di un perimetro di servizio. In questo caso, i Controlli di servizio VPC potrebbero rifiutare l'accesso.

In genere, i servizi propagano i messaggi di errore dalle loro dipendenze. Se riscontri uno dei seguenti errori, significa che si è verificato un problema con i Controlli di servizio VPC.

Cloud Storage: 403: Request violates VPC Service Controls.
BigQuery: 403: VPC Service Controls: Request is prohibited by organization's policy.
Altri servizi: 403: Request is prohibited by organization's policy.

Utilizza l'ID univoco dell'errore

A differenza della console Cloud de Confiance , lo strumento a riga di comando gcloud restituisce un ID univoco per gli errori dei Controlli di servizio VPC. Per individuare le voci di log per altri errori, filtra i log utilizzando i metadati.

Un errore generato dai Controlli di servizio VPC include un ID univoco utilizzato per identificare gli audit log pertinenti.

Per ottenere informazioni su un errore utilizzando l'ID univoco, segui questi passaggi:

Nella console Cloud de Confiance , vai alla pagina Cloud Logging per il progetto all'interno del perimetro di servizio che ha attivato l'errore.

Vai a Cloud Logging
Nel campo del filtro di ricerca, inserisci l'ID univoco dell'errore.

Viene visualizzata la voce di log pertinente.

Filtra i log utilizzando i metadati

Puoi utilizzare Esplora log per trovare errori relativi ai Controlli di servizio VPC. Puoi utilizzare il linguaggio di query di Logging per recuperare i log. Per informazioni sulla creazione di query, consulta Creazione di query utilizzando il linguaggio di query di Logging.

Console

Per ottenere gli errori dei Controlli di servizio VPC delle ultime 24 ore in Logging, segui questi passaggi:

Nella console Cloud de Confiance , vai alla pagina Cloud Logging.

Vai a Cloud Logging
Assicurati di essere nel progetto all'interno del perimetro di servizio.

Nel campo del filtro di ricerca, inserisci quanto segue:

protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

Nel menu Risorsa, seleziona Risorsa controllata.
Nel menu del selettore dell'intervallo di tempo, seleziona Ultime 24 ore.
(Facoltativo) Per trovare gli errori dei Controlli di servizio VPC che si sono verificati in un periodo diverso, utilizza il menu Selettore intervallo di tempo.

gcloud

Per ottenere gli errori dei Controlli di servizio VPC delle ultime 24 ore, esegui questo comando:
```
gcloud logging read 'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"'
```
Per impostazione predefinita, il comando read è limitato alle ultime 24 ore. Per ottenere i log dei Controlli di servizio VPC per un periodo diverso, utilizza uno dei seguenti comandi:
Per recuperare i log generati in un determinato periodo a partire dalla data corrente, esegui questo comando:
```
gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=DURATION
```
DURATION è un periodo di tempo formattato. Per saperne di più sulla formattazione, consulta Formati di durata e ora relativi per gcloud CLI.

Per recuperare tutti gli errori dei Controlli di servizio VPC che si sono verificati nell'ultima settimana, esegui questo comando:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --freshness=7d

Per recuperare i log generati tra date specifiche, esegui questo comando:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
timestamp>="START_DATETIME" AND
timestamp<="END_DATETIME"'

START_DATETIME e END_DATETIME sono stringhe di data e ora formattate. Per saperne di più sulla formattazione, consulta Formati di data e ora assoluti per gcloud CLI.

Ad esempio, per ottenere tutti gli errori dei Controlli di servizio VPC verificatisi tra il 22 marzo 2019 e il 26 marzo 2019:

gcloud logging read \
'protoPayload.metadata.@type:"type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata" AND
  timestamp>="2019-03-22T23:59:59Z" AND
  timestamp<="2019-03-26T00:00:00Z"'