En esta página, se describe cómo configurar y usar el panel de incumplimientos de los Controles del servicio de VPC para ver los detalles sobre los rechazos de acceso por parte de los perímetros de servicio de tu organización.
Costo
Cuando usas el panel de incumplimientos de los Controles del servicio de VPC, debes tener en cuenta el costo que generas por usar los siguientes componentes facturables de Trusted Cloud:
Debido a que implementas recursos de Cloud Logging en tu organización mientras configuras el panel de incumplimientos, incurres en costos por usar estos recursos.
Debido a que usas un receptor del enrutador de registros a nivel de la organización para el panel de incumplimientos, los Controles del servicio de VPC duplican todos tus registros de auditoría en el bucket de registros configurado. Se aplican costos por usar el bucket de registros. Para estimar el costo potencial del uso del bucket de registros, consulta y calcula el volumen de tus registros de auditoría. Para obtener más información sobre cómo consultar tus registros existentes, consulta Visualiza los registros.
Para obtener información sobre los precios de Cloud Logging y Cloud Monitoring, consulta Precios de Google Cloud Observability.
Antes de comenzar
-
In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Service Usage API.
-
Para obtener los permisos que necesitas para configurar el panel de incumplimientos, pídele a tu administrador que te otorgue el rol de IAM Administrador de Logging (
roles/logging.admin) en el proyecto en el que configures un bucket de registros durante la configuración del panel de incumplimientos. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.Este rol predefinido contiene los permisos necesarios para configurar el panel de incumplimientos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para configurar el panel de incumplimientos:
-
Para enumerar los buckets de registros del proyecto seleccionado, haz lo siguiente:
logging.buckets.list -
Para crear un bucket de registros nuevo, sigue estos pasos:
logging.buckets.create -
Para habilitar el Análisis de registros en el bucket de registros seleccionado, haz lo siguiente:
logging.buckets.update -
Para crear un receptor de Log Router nuevo, haz lo siguiente:
logging.sinks.create
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
-
Para enumerar los buckets de registros del proyecto seleccionado, haz lo siguiente:
-
Para obtener los permisos que necesitas para ver el panel de incumplimientos, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto en el que configures un bucket de registros durante la configuración del panel de incumplimientos:
-
Descriptor de acceso de vista de registros (
roles/logging.viewAccessor) -
Visualizador del solucionador de problemas de los Controles del servicio de VPC (
roles/accesscontextmanager.vpcScTroubleshooterViewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para ver el panel de incumplimientos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para ver el panel de incumplimientos:
-
Para mostrar los nombres de las políticas de acceso, haz lo siguiente:
accesscontextmanager.policies.list -
Para mostrar los nombres de los proyectos, haz lo siguiente:
resourcemanager.projects.get
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
-
Descriptor de acceso de vista de registros (
En la Trusted Cloud consola, ve a la página Controles del servicio de VPC.
Ir a los Controles del servicio de VPC
Si se te solicita, selecciona tu organización. Solo puedes acceder a la página Controles del servicio de VPC a nivel de organización.
En la página Controles del servicio de VPC, haz clic en Panel de incumplimientos.
En la página Configuración del panel de incumplimientos, en el campo Proyecto, selecciona el proyecto que contiene el bucket de registros en el que deseas agregar los registros de auditoría.
En Destino del bucket de registros, selecciona Bucket de registros existente o Crear bucket de registros nuevo.
Si quieres usar un bucket de registros existente, en la lista Bucket de registros, selecciona el bucket de registros requerido.
Si creas un bucket de registros nuevo, ingresa la información requerida en los siguientes campos:
Nombre: Un nombre para tu bucket de registros
Descripción: Es una descripción del bucket de registros.
Región: Es la región en la que deseas almacenar tus registros.
Período de retención: Es una duración personalizada durante la cual Cloud Logging debe conservar tus registros.
Para obtener más información sobre estos campos, consulta Crea un bucket.
Haz clic en Crear receptor del enrutador de registros. Los Controles del servicio de VPC crean un nuevo receptor del enrutador de registros llamado
reserved_vpc_sc_dashboard_log_routeren el proyecto seleccionado.En la Trusted Cloud consola, ve a la página Controles del servicio de VPC.
Ir a los Controles del servicio de VPC
Si se te solicita, selecciona tu organización. Solo puedes acceder a la página Controles del servicio de VPC a nivel de organización.
En la página Controles del servicio de VPC, haz clic en Panel de incumplimientos. Aparecerá la página del panel de incumplimientos.
Filtrado: En la lista Filtro de , selecciona las opciones necesarias para filtrar y ver datos específicos, por ejemplo, principal, política de acceso y recurso. Para aplicar un valor específico de una de las tablas como filtro, haz clic en Agregar filtro antes del valor.
Intervalos: Para seleccionar el período de los datos, haz clic en uno de los intervalos predefinidos. Para definir un período personalizado, haz clic en Personalizado.
Tablas y gráficos: Desplázate por la página del Panel de incumplimientos para ver los datos categorizados en diferentes tablas y gráficos. En el panel de incumplimientos, se muestran las siguientes tablas y gráficos:
Incumplimientos
Recuento de incumplimientos
Principales incumplimientos por principal
Principales incumplimientos por IP de principal
Principales incumplimientos por servicio
Principales incumplimientos por método
Principales incumplimientos por recurso
Principales incumplimientos por perímetro de servicio
Principales incumplimientos por política de acceso
Soluciona problemas de rechazos de acceso: Haz clic en el token de solución de problemas de un rechazo de acceso que se encuentre en la tabla Violaciones para diagnosticar el rechazo de acceso con el analizador de incumplimientos. Los Controles del servicio de VPC abren el analizador de incumplimientos y muestran el resultado de la solución de problemas de la denegación de acceso.
Para obtener información sobre el uso del analizador de incumplimientos, consulta Diagnostica un evento de denegación de acceso con el analizador de incumplimientos de los Controles del servicio de VPC (versión preliminar).
Paginación: El panel de incumplimientos pagina los datos que se muestran en todas las tablas. Haz clic en Anterior y Siguiente para navegar y ver los datos paginados.
Modifica el receptor del enrutador de registros: Para modificar el receptor del enrutador de registros configurado, haz clic en Editar receptor de registros.
Para obtener información sobre cómo modificar un receptor del enrutador de registros, consulta Administra receptores.
En la Trusted Cloud consola, ve a la página Controles del servicio de VPC.
Ir a los Controles del servicio de VPC
Si se te solicita, selecciona tu organización.
En la página Controles del servicio de VPC, haz clic en el perímetro de servicio que protege el proyecto que contiene tu bucket de registros.
Crea una regla de entrada que te permita acceder a la API de Cloud Logging en el proyecto.
En la consola de Trusted Cloud , ve a la página Enrutador de registros.
En la página Enrutador de registros, selecciona Menú para el receptor del enrutador de registros configurado y, luego, selecciona Ver detalles del receptor.
En el cuadro de diálogo Detalles del receptor, copia la cuenta de servicio que usa el receptor de Log Router del campo Identidad del escritor.
En la Trusted Cloud consola, ve a la página Controles del servicio de VPC.
Ir a los Controles del servicio de VPC
Si se te solicita, selecciona tu organización.
En la página Controles del servicio de VPC, haz clic en el perímetro de servicio que protege el proyecto que contiene tu bucket de registros.
Crea una regla de entrada que permita que la cuenta de servicio del receptor de Log Router acceda a la API de Cloud Logging en el proyecto.
Los Controles del servicio de VPC no completan los registros de auditoría de otros buckets a nivel del proyecto:
Si creas un bucket de registros nuevo mientras configuras el panel de infracciones, los Controles del servicio de VPC no completan los registros existentes de otros proyectos de tu organización en el bucket de registros recién creado. El panel aparecerá vacío hasta que los Controles del servicio de VPC registren infracciones nuevas y enruten estos registros al nuevo bucket de registros.
Si seleccionas un bucket de registros existente mientras configuras el panel de incumplimientos, este mostrará información de todos los registros existentes del bucket de registros seleccionado. El panel no muestra los registros de otros proyectos de tu organización porque los Controles del servicio de VPC no transfieren estos registros al bucket de registros seleccionado.
- Registro de auditoría de los Controles del servicio de VPC
- Diagnostica problemas con el solucionador de problemas de los Controles del servicio de VPC
- Diagnostica un evento de rechazo de acceso con el analizador de incumplimientos de los Controles del servicio de VPC (vista previa)
- Soluciona problemas habituales de los Controles del servicio de VPC con los servicios de Trusted Cloud by S3NS
Roles obligatorios
Configura el panel
Para configurar el panel de incumplimientos, debes configurar un bucket de registros para agregar los registros de auditoría de los Controles del servicio de VPC y crear un receptor del enrutador de registros a nivel de la organización que enrute todos los registros de auditoría de los Controles del servicio de VPC al bucket de registros.
Para configurar el panel de incumplimientos de tu organización, haz lo siguiente una sola vez:
Esta operación tarda aproximadamente un minuto en completarse.
Cómo ver las denegaciones de acceso en el panel
Después de configurar el panel de incumplimientos, puedes usarlo para ver los detalles sobre las denegaciones de acceso por perímetros de servicio en tu organización.
En la página del Panel de incumplimientos, puedes realizar las siguientes operaciones:
Solucionar problemas
Si tienes problemas para usar el panel de incumplimientos, intenta solucionarlos como se describe en las siguientes secciones.
Un perímetro de servicio denegó el acceso a tu cuenta de usuario
Si encuentras un error debido a permisos insuficientes, verifica si algún perímetro de servicio de tu organización deniega el acceso a la API de Cloud Logging. Para resolver este problema, crea una regla de entrada que te permita acceder a la API de Cloud Logging:
Un perímetro de servicio denegó el acceso al bucket de registros
Si los Controles del servicio de VPC no enrutan tus registros de auditoría al bucket de registros configurado, es posible que debas crear una regla de entrada que permita que la cuenta de servicio del receptor de Log Router acceda a la API de Cloud Logging en tu perímetro de servicio: