Cette page explique comment configurer et utiliser le tableau de bord des cas de non-respect de VPC Service Controls pour afficher les détails des refus d'accès par périmètre de service dans votre organisation.
Coût
Lorsque vous utilisez le tableau de bord des cas de non-respect de VPC Service Controls, vous devez tenir compte des coûts que vous encourez pour l'utilisation des composants facturables suivants de Trusted Cloud :
Étant donné que vous déployez des ressources Cloud Logging dans votre organisation lorsque vous configurez le tableau de bord des cas de non-respect, vous devez payer pour l'utilisation de ces ressources.
Étant donné que vous utilisez un récepteur de routeur de journaux au niveau de l'organisation pour le tableau de bord des violations, VPC Service Controls duplique tous vos journaux d'audit dans le bucket de journaux configuré. L'utilisation du bucket de journaux entraîne des frais. Pour estimer le coût potentiel de l'utilisation du bucket de journaux, interrogez et calculez le volume de vos journaux d'audit. Pour en savoir plus sur l'interrogation de vos journaux existants, consultez Afficher les journaux.
Pour en savoir plus sur les tarifs de Cloud Logging et Cloud Monitoring, consultez la page Tarifs de Google Cloud Observability.
Avant de commencer
-
In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Service Usage API.
-
Pour obtenir les autorisations nécessaires pour configurer le tableau de bord des cas de non-respect, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de journaux (
roles/logging.admin) sur le projet dans lequel vous configurez un bucket de journaux lors de la configuration du tableau de bord des cas de non-respect. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.Ce rôle prédéfini contient les autorisations requises pour configurer le tableau de bord des cas de non-respect. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour configurer le tableau de bord des cas de non-respect :
-
Pour lister les buckets de journaux du projet sélectionné :
logging.buckets.list -
Pour créer un bucket de journaux :
logging.buckets.create -
Pour activer l'analyse de journaux dans le bucket de journaux sélectionné :
logging.buckets.update -
Pour créer un récepteur Log Router :
logging.sinks.create
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
-
Pour lister les buckets de journaux du projet sélectionné :
-
Pour obtenir les autorisations nécessaires pour afficher le tableau de bord des cas de non-respect, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous configurez un bucket de journaux lors de la configuration du tableau de bord des cas de non-respect :
-
Accesseur de vues de journaux (
roles/logging.viewAccessor) -
Lecteur de l'outil de dépannage de VPC Service Controls (
roles/accesscontextmanager.vpcScTroubleshooterViewer)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour afficher le tableau de bord des cas de non-respect. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour afficher le tableau de bord des cas de non-respect :
-
Pour afficher les noms des règles d'accès :
accesscontextmanager.policies.list -
Pour afficher les noms des projets :
resourcemanager.projects.get
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
-
Accesseur de vues de journaux (
Dans la console Trusted Cloud , accédez à la page VPC Service Controls.
Accéder à VPC Service Controls
Si vous y êtes invité, sélectionnez votre organisation. Vous ne pouvez accéder à la page VPC Service Controls qu'au niveau de l'organisation.
Sur la page VPC Service Controls, cliquez sur Tableau de bord des violations.
Sur la page Configurer le tableau de bord des cas de non-respect, dans le champ Projet, sélectionnez le projet contenant le bucket de journaux dans lequel vous souhaitez agréger les journaux d'audit.
Pour Destination du bucket de journaux, sélectionnez Bucket de journaux existant ou Créer un bucket de journaux.
Si vous souhaitez utiliser un bucket de journaux existant, sélectionnez-le dans la liste Bucket de journaux.
Si vous créez un bucket de journaux, saisissez les informations requises dans les champs suivants :
Nom : nom de votre bucket de journaux.
Description : description de votre bucket de journaux.
Région : région dans laquelle vous souhaitez stocker vos journaux.
Durée de conservation : durée personnalisée pendant laquelle Cloud Logging doit conserver vos journaux.
Pour en savoir plus sur ces champs, consultez Créer un bucket.
Cliquez sur Créer un récepteur de routeur de journaux. VPC Service Controls crée un récepteur de routeur de journaux nommé
reserved_vpc_sc_dashboard_log_routerdans le projet sélectionné.Dans la console Trusted Cloud , accédez à la page VPC Service Controls.
Accéder à VPC Service Controls
Si vous y êtes invité, sélectionnez votre organisation. Vous ne pouvez accéder à la page VPC Service Controls qu'au niveau de l'organisation.
Sur la page VPC Service Controls, cliquez sur Tableau de bord des violations. La page Tableau de bord des cas de non-respect s'affiche.
Filtrer : dans la liste Filtrer, sélectionnez les options requises pour filtrer et afficher des données spécifiques (par exemple, le principal, la règle d'accès ou la ressource). Pour appliquer une valeur spécifique de l'un des tableaux en tant que filtre, cliquez sur Ajouter un filtre avant la valeur.
Intervalles de temps : pour sélectionner la période des données, cliquez sur l'un des intervalles de temps prédéfinis. Pour définir une période personnalisée, cliquez sur Personnalisée.
Tableaux et graphiques : faites défiler la page Tableau de bord des cas de non-respect pour afficher les données classées dans différents tableaux et graphiques. Le tableau de bord des cas de non-respect affiche les tableaux et graphiques suivants :
Cas de non-respect
Nombre de cas de non-respect
Principaux cas de non-conformité par compte principal
Principaux cas de non-conformité par adresse IP de compte principal
Principaux cas de non-conformité par service
Principaux cas de non-conformité par méthode
Principaux cas de non-conformité par ressource
Principaux cas de non-conformité par périmètre de service
Principaux cas de non-conformité par stratégie d'accès
Résoudre les problèmes d'accès refusé : cliquez sur le jeton de dépannage d'un accès refusé listé dans le tableau Infractions pour diagnostiquer l'accès refusé à l'aide de l'outil d'analyse des infractions. VPC Service Controls ouvre l'analyseur de violations et affiche le résultat du dépannage du refus d'accès.
Pour savoir comment utiliser l'analyseur d'infractions, consultez Diagnostiquer un événement de refus d'accès à l'aide de l'analyseur d'infractions VPC Service Controls (Aperçu).
Pagination : le tableau de bord des cas de non-respect pagine les données affichées dans tous les tableaux. Cliquez sur Précédent et Suivant pour parcourir et afficher les données paginées.
Modifier le récepteur du routeur de journaux : pour modifier le récepteur du routeur de journaux configuré, cliquez sur Modifier le récepteur de journaux.
Pour savoir comment modifier un récepteur du routeur de journaux, consultez Gérer les récepteurs.
Dans la console Trusted Cloud , accédez à la page VPC Service Controls.
Accéder à VPC Service Controls
Si vous y êtes invité, sélectionnez votre organisation.
Sur la page VPC Service Controls, cliquez sur le périmètre de service qui protège le projet contenant votre bucket de journaux.
Créez une règle d'entrée qui vous permet d'accéder à l'API Cloud Logging dans le projet.
Dans la console Trusted Cloud , accédez à la page Routeur de journaux.
Sur la page Routeur de journaux, sélectionnez le menu pour le récepteur du routeur de journaux configuré, puis sélectionnez Afficher les détails du récepteur.
Dans la boîte de dialogue Détails du récepteur, copiez le compte de service utilisé par le récepteur du routeur de journaux à partir du champ Identité du rédacteur.
Dans la console Trusted Cloud , accédez à la page VPC Service Controls.
Accéder à VPC Service Controls
Si vous y êtes invité, sélectionnez votre organisation.
Sur la page VPC Service Controls, cliquez sur le périmètre de service qui protège le projet contenant votre bucket de journaux.
Créez une règle d'entrée qui autorise le compte de service du récepteur du routeur de journaux à accéder à l'API Cloud Logging dans le projet.
VPC Service Controls ne remplit pas les journaux d'audit à partir d'autres buckets au niveau du projet :
Si vous créez un bucket de journaux lors de la configuration du tableau de bord des cas de non-respect, VPC Service Controls ne remplit pas le nouveau bucket de journaux avec les journaux existants provenant d'autres projets de votre organisation. Le tableau de bord apparaît vide jusqu'à ce que les VPC Service Controls enregistrent de nouvelles violations et acheminent ces journaux vers le nouveau bucket de journaux.
Si vous sélectionnez un bucket de journaux existant lors de la configuration du tableau de bord des cas de non-respect, il affiche les informations de tous les journaux existants du bucket de journaux sélectionné. Le tableau de bord n'affiche pas les journaux des autres projets de votre organisation, car VPC Service Controls ne les remplit pas dans le bucket de journaux sélectionné.
- Journalisation des audits VPC Service Controls
- Diagnostiquer les problèmes à l'aide de l'outil de dépannage de VPC Service Controls
- Diagnostiquer un événement de refus d'accès à l'aide de l'analyseur d'infractions VPC Service Controls (aperçu)
- Résoudre les problèmes courants liés à VPC Service Controls avec les services Trusted Cloud by S3NS
Rôles requis
Configurer le tableau de bord
Pour configurer le tableau de bord des cas de non-respect, vous devez configurer un bucket de journaux pour agréger les journaux d'audit VPC Service Controls et créer un récepteur de routeur de journaux au niveau de l'organisation qui acheminera tous les journaux d'audit VPC Service Controls vers le bucket de journaux.
Pour configurer le tableau de bord des cas de non-respect pour votre organisation, procédez comme suit :
Cette opération prend environ une minute.
Afficher les refus d'accès dans le tableau de bord
Une fois le tableau de bord des cas de non-respect configuré, vous pouvez l'utiliser pour afficher des informations détaillées sur les refus d'accès par périmètre de service dans votre organisation.
Sur la page Tableau de bord des violations, vous pouvez effectuer les opérations suivantes :
Résoudre les problèmes
Si vous rencontrez des problèmes lors de l'utilisation du tableau de bord des cas de non-respect, essayez de les résoudre en suivant les instructions des sections suivantes.
Un périmètre de service a refusé l'accès à votre compte utilisateur
Si vous rencontrez une erreur due à des autorisations insuffisantes, vérifiez si un périmètre de service de votre organisation refuse l'accès à l'API Cloud Logging. Pour résoudre ce problème, créez une règle d'entrée qui vous permet d'accéder à l'API Cloud Logging :
Un périmètre de service a refusé l'accès au bucket de journaux
Si VPC Service Controls ne route pas vos journaux d'audit vers le bucket de journaux configuré, vous devrez peut-être créer une règle d'entrée qui autorise le compte de service du récepteur Log Router à accéder à l'API Cloud Logging dans votre périmètre de service :