Dashboard für Verstöße einrichten und aufrufen

Auf dieser Seite wird beschrieben, wie Sie das VPC Service Controls-Dashboard für Verstöße einrichten und verwenden, um Details zu Zugriffsverweigerungen durch Dienstperimeter in Ihrer Organisation aufzurufen.

Kosten

Wenn Sie das Dashboard für VPC Service Controls-Verstöße verwenden, müssen Sie die Kosten berücksichtigen, die für die Verwendung der folgenden abrechenbaren Komponenten von Trusted Cloudanfallen:

  • Da Sie beim Einrichten des Übersichts-Dashboards Cloud Logging-Ressourcen in Ihrer Organisation bereitstellen, entstehen Kosten für die Nutzung dieser Ressourcen.

  • Da Sie eine Log-Router-Senke auf Organisationsebene für das Dashboard für Verstöße verwenden, dupliziert VPC Service Controls alle Ihre Audit-Logs im konfigurierten Log-Bucket. Für die Verwendung des Log-Buckets fallen Kosten an. Um die potenziellen Kosten für die Verwendung des Log-Buckets zu schätzen, fragen Sie das Volumen Ihrer Audit-Logs ab und berechnen Sie es. Weitere Informationen zum Abfragen Ihrer vorhandenen Logs finden Sie unter Logs ansehen.

Informationen zu den Preisen für Cloud Logging und Cloud Monitoring finden Sie unter Google Cloud Observability-Preise.

Hinweise

  1. In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

    Go to project selector

  2. Verify that billing is enabled for your Trusted Cloud project.

  3. Enable the Service Usage API.

    Enable the API

    4. Erforderliche Rollen

    • Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Logging Admin (roles/logging.admin) für das Projekt zuzuweisen, in dem Sie beim Einrichten des Dashboards für Verstöße einen Log-Bucket konfigurieren, um die Berechtigungen zu erhalten, die Sie zum Einrichten des Dashboards für Verstöße benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

      Diese vordefinierte Rolle enthält die Berechtigungen, die zum Einrichten des Übersichts-Dashboards für Verstöße erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

      Erforderliche Berechtigungen

      Die folgenden Berechtigungen sind erforderlich, um das Dashboard für Verstöße einzurichten:

      • So listen Sie die Log-Buckets des ausgewählten Projekts auf: logging.buckets.list
      • So erstellen Sie einen neuen Log-Bucket: logging.buckets.create
      • So aktivieren Sie Loganalysen im ausgewählten Log-Bucket: logging.buckets.update
      • So erstellen Sie ein neues Log Router-Ziel: logging.sinks.create

      Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

    • Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, in dem Sie einen Log-Bucket während der Einrichtung des Übersichts-Dashboards für Verstöße konfigurieren, um die Berechtigungen zu erhalten, die Sie zum Aufrufen des Übersichts-Dashboards für Verstöße benötigen:

      Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

      Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Aufrufen des Übersichts-Dashboards für Verstöße erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

      Erforderliche Berechtigungen

      Die folgenden Berechtigungen sind erforderlich, um das Dashboard für Richtlinienverstöße aufzurufen:

      • So rufen Sie die Namen der Zugriffsrichtlinien auf: accesscontextmanager.policies.list
      • So lassen Sie sich die Projektnamen anzeigen: resourcemanager.projects.get

      Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

    Dashboard einrichten

    Um das Dashboard für Verstöße einzurichten, müssen Sie einen Log-Bucket konfigurieren, um die VPC Service Controls-Audit-Logs zu aggregieren, und eine Log-Router-Senke auf Organisationsebene erstellen, die alle VPC Service Controls-Audit-Logs an den Log-Bucket weiterleitet.

    So richten Sie das Dashboard für Verstöße für Ihre Organisation ein:

    1. Rufen Sie in der Trusted Cloud -Console die Seite VPC Service Controls auf.

      Zu „VPC Service Controls“

      Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden. Sie können auf die Seite VPC Service Controls nur auf Organisationsebene zugreifen.

    2. Klicken Sie auf der Seite VPC Service Controls auf Dashboard für Verstöße.

    3. Wählen Sie auf der Seite Einrichtung des Übersichts-Dashboards für Verstöße im Feld Projekt das Projekt aus, das den Log-Bucket enthält, in dem Sie die Audit-Logs zusammenfassen möchten.

    4. Wählen Sie unter Ziel für Log-Bucket die Option Vorhandener Log-Bucket oder Neuen Log-Bucket erstellen aus.

      • Wenn Sie einen vorhandenen Log-Bucket verwenden möchten, wählen Sie den gewünschten Log-Bucket in der Liste Log-Bucket aus.

      • Wenn Sie einen neuen Log-Bucket erstellen, geben Sie die erforderlichen Informationen in die folgenden Felder ein:

        1. Name: Ein Name für Ihren Log-Bucket.

        2. Beschreibung: Eine Beschreibung für Ihren Log-Bucket.

        3. Region: Die Region, in der Sie Ihre Logs speichern möchten.

        4. Aufbewahrungsdauer: Ein benutzerdefinierter Zeitraum, für den Cloud Logging Ihre Logs aufbewahren muss.

        Weitere Informationen zu diesen Feldern finden Sie unter Bucket erstellen.

    5. Klicken Sie auf Logrouter-Senke erstellen. VPC Service Controls erstellt im ausgewählten Projekt eine neue Logrouter-Senke mit dem Namen reserved_vpc_sc_dashboard_log_router.

    Dieser Vorgang dauert etwa eine Minute.

    Abgelehnte Zugriffsanfragen im Dashboard ansehen

    Nachdem Sie das Dashboard für Verstöße eingerichtet haben, können Sie es verwenden, um die Details zu Zugriffsverweigerungen durch Serviceperimeter in Ihrer Organisation aufzurufen.

    1. Rufen Sie in der Trusted Cloud -Console die Seite VPC Service Controls auf.

      Zu „VPC Service Controls“

      Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden. Sie können auf die Seite VPC Service Controls nur auf Organisationsebene zugreifen.

    2. Klicken Sie auf der Seite VPC Service Controls auf Dashboard für Verstöße. Die Seite Dashboard für Verstöße wird angezeigt.

    Auf der Seite Dashboard für Verstöße haben Sie folgende Möglichkeiten:

    • Filtern:Wählen Sie in der Liste Filter die gewünschten Optionen aus, um bestimmte Daten zu filtern und anzusehen, z. B. Prinzipal, Zugriffsrichtlinie oder Ressource. Wenn Sie einen bestimmten Wert aus einer der Tabellen als Filter anwenden möchten, klicken Sie vor dem Wert auf  Filter hinzufügen.

    • Zeitintervalle:Klicken Sie auf eines der vordefinierten Zeitintervalle, um den Zeitraum für die Daten auszuwählen. Wenn Sie einen benutzerdefinierten Zeitraum festlegen möchten, klicken Sie auf Benutzerdefiniert.

    • Tabellen und Diagramme:Scrollen Sie auf der Seite Dashboard für Verstöße, um die Daten in verschiedenen Tabellen und Diagrammen zu sehen. Das Dashboard für Verstöße enthält die folgenden Tabellen und Diagramme:

      • Verstöße

      • Anzahl der Verstöße

      • Top-Verstöße nach Hauptkonto

      • Top-Verstöße nach Hauptkonto-IP-Adresse

      • Top-Verstöße nach Dienst

      • Top-Verstöße nach Methode

      • Top-Verstöße nach Ressource

      • Top-Verstöße nach Dienstperimeter

      • Top-Verstöße nach Zugriffsrichtlinie

    • Zugriffsverweigerungen beheben:Klicken Sie in der Tabelle Verstöße auf das Fehlerbehebungstoken einer Zugriffsverweigerung, um die Zugriffsverweigerung mit dem Verstoßanalysetool zu diagnostizieren. VPC Service Controls öffnet die Analyse von Verstößen und zeigt das Ergebnis der Fehlerbehebung für die Zugriffsverweigerung an.

      Informationen zur Verwendung des Analysetools für Verstöße finden Sie unter Zugriffsverweigerungsereignis mit dem Analysetool für Verstöße gegen VPC Service Controls diagnostizieren (Vorschau).

    • Paginierung:Im Dashboard für Verstöße werden die Daten in allen Tabellen paginiert. Klicken Sie auf  Zurück und Weiter, um die paginierten Daten aufzurufen.

    • Log Router-Senke ändern:Klicken Sie auf Logsenke bearbeiten, um die konfigurierte Log Router-Senke zu ändern.

      Informationen zum Ändern einer Log Router-Senke finden Sie unter Senken verwalten.

    Fehlerbehebung

    Wenn Sie Probleme bei der Verwendung des Übersichts-Dashboards für Richtlinienverstöße haben, können Sie versuchen, die Probleme wie in den folgenden Abschnitten beschrieben zu beheben.

    Ein Dienstperimeter hat den Zugriff auf Ihr Nutzerkonto verweigert

    Wenn ein Fehler aufgrund unzureichender Berechtigungen auftritt, prüfen Sie, ob ein Dienstperimeter in Ihrer Organisation den Zugriff auf die Cloud Logging API verweigert. Erstellen Sie eine Regel für eingehenden Traffic, mit der Sie auf die Cloud Logging API zugreifen können, um dieses Problem zu beheben:

    1. Rufen Sie in der Trusted Cloud -Console die Seite VPC Service Controls auf.

      Zu „VPC Service Controls“

      Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

    2. Klicken Sie auf der Seite VPC Service Controls auf den Dienstperimeter, der das Projekt mit Ihrem Log-Bucket schützt.

    3. Erstellen Sie eine Regel für eingehenden Traffic, mit der Sie auf die Cloud Logging API im Projekt zugreifen können.

    Ein Dienstperimeter hat den Zugriff auf den Log-Bucket verweigert

    Wenn VPC Service Controls Ihre Audit-Logs nicht an den konfigurierten Log-Bucket weiterleitet, müssen Sie möglicherweise eine Ingress-Regel erstellen, die dem Dienstkonto der Log Router-Senke den Zugriff auf die Cloud Logging API in Ihrem Dienstperimeter ermöglicht:

    1. Rufen Sie in der Trusted Cloud Console die Seite Log Router auf.

      Zum "Log Router"

    2. Wählen Sie auf der Seite Log-Router für die konfigurierte Log-Router-Senke das  Menü und dann Senkendetails ansehen aus.

    3. Kopieren Sie im Dialogfeld Senkendetails aus dem Feld Identität des Autors das Dienstkonto, das von der Log-Router-Senke verwendet wird.

    4. Rufen Sie in der Trusted Cloud -Console die Seite VPC Service Controls auf.

      Zu „VPC Service Controls“

      Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

    5. Klicken Sie auf der Seite VPC Service Controls auf den Dienstperimeter, der das Projekt mit Ihrem Log-Bucket schützt.

    6. Erstellen Sie eine Ingress-Regel, die dem Dienstkonto des Log-Router-Senkenzugriff auf die Cloud Logging API im Projekt ermöglicht.

    Beschränkungen

    • VPC Service Controls füllt die Audit-Logs nicht aus anderen Buckets auf Projektebene auf:

      • Wenn Sie beim Einrichten des Dashboards für Verstöße einen neuen Log-Bucket erstellen, werden die vorhandenen Logs aus anderen Projekten in Ihrer Organisation nicht in den neu erstellten Log-Bucket übertragen. Das Dashboard ist leer, bis VPC Service Controls neue Verstöße protokolliert und diese Logs an den neuen Log-Bucket weiterleitet.

      • Wenn Sie beim Einrichten des Übersichts-Dashboards für Verstöße einen vorhandenen Log-Bucket auswählen, werden im Dashboard Informationen zu allen vorhandenen Logs aus dem ausgewählten Log-Bucket angezeigt. Im Dashboard werden keine Logs aus anderen Projekten in Ihrer Organisation angezeigt, da VPC Service Controls diese Logs nicht in den ausgewählten Log-Bucket einfügt.

    Nächste Schritte