Halaman ini menjelaskan cara menyiapkan dan menggunakan dasbor pelanggaran Kontrol Layanan VPC untuk melihat detail tentang penolakan akses oleh perimeter layanan di organisasi Anda.
Biaya
Saat menggunakan dasbor pelanggaran Kontrol Layanan VPC, Anda harus mempertimbangkan biaya yang Anda keluarkan untuk menggunakan komponen yang dapat ditagih berikut dari Trusted Cloud:
Karena Anda men-deploy resource Cloud Logging di organisasi saat menyiapkan dasbor pelanggaran, Anda akan dikenai biaya untuk penggunaan resource ini.
Karena Anda menggunakan sink Log Router tingkat organisasi untuk dasbor pelanggaran, Kontrol Layanan VPC menduplikasi semua log audit Anda di bucket log yang dikonfigurasi. Anda akan dikenai biaya untuk menggunakan bucket log. Untuk memperkirakan potensi biaya penggunaan bucket log, buat kueri dan hitung volume log audit Anda. Untuk mengetahui informasi selengkapnya tentang cara membuat kueri log yang ada, lihat Melihat log.
Untuk mengetahui informasi tentang harga Cloud Logging dan Cloud Monitoring, lihat harga Google Cloud Observability.
Sebelum memulai
-
In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Service Usage API.
-
Untuk mendapatkan izin yang diperlukan untuk menyiapkan dasbor pelanggaran, minta administrator Anda untuk memberi Anda peran IAM Logging Admin (
roles/logging.admin) di project tempat Anda mengonfigurasi bucket log selama penyiapan dasbor pelanggaran. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.Peran bawaan ini berisi izin yang diperlukan untuk menyiapkan dasbor pelanggaran. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menyiapkan dasbor pelanggaran:
-
Untuk mencantumkan bucket log dari project yang dipilih:
logging.buckets.list -
Untuk membuat bucket log baru:
logging.buckets.create -
Untuk mengaktifkan Log Analytics di bucket log yang dipilih:
logging.buckets.update -
Untuk membuat sink Log Router baru:
logging.sinks.create
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
-
Untuk mencantumkan bucket log dari project yang dipilih:
-
Untuk mendapatkan izin yang diperlukan untuk melihat dasbor pelanggaran, minta administrator untuk memberi Anda peran IAM berikut pada project tempat Anda mengonfigurasi bucket log selama penyiapan dasbor pelanggaran:
-
Logs View Accessor (
roles/logging.viewAccessor) -
VPC Service Controls Troubleshooter Viewer (
roles/accesscontextmanager.vpcScTroubleshooterViewer)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk melihat dasbor pelanggaran. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk melihat dasbor pelanggaran:
-
Untuk menampilkan nama kebijakan akses:
accesscontextmanager.policies.list -
Untuk menampilkan nama project:
resourcemanager.projects.get
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
-
Logs View Accessor (
Di konsol Trusted Cloud , buka halaman VPC Service Controls.
Jika diminta, pilih organisasi Anda. Anda hanya dapat mengakses halaman VPC Service Controls di tingkat organisasi.
Di halaman VPC Service Controls, klik Dasbor pelanggaran.
Di halaman Penyiapan dasbor pelanggaran, di kolom Project, pilih project yang berisi bucket log tempat Anda ingin menggabungkan log audit.
Untuk Tujuan bucket log, pilih Bucket log yang ada atau Buat bucket log baru.
Jika Anda ingin menggunakan bucket log yang ada, di daftar Bucket log, pilih bucket log yang diperlukan.
Jika Anda membuat bucket log baru, masukkan informasi yang diperlukan di kolom berikut:
Nama: Nama untuk bucket log Anda.
Deskripsi: Deskripsi untuk bucket log Anda.
Region: Region tempat Anda ingin menyimpan log.
Periode retensi data: Durasi kustom yang diperlukan Cloud Logging untuk menyimpan log Anda.
Untuk mengetahui informasi selengkapnya tentang kolom ini, lihat Membuat bucket.
Klik Create log router sink. Kontrol Layanan VPC membuat sink Log Router baru bernama
reserved_vpc_sc_dashboard_log_routerdi project yang dipilih.Di konsol Trusted Cloud , buka halaman VPC Service Controls.
Jika diminta, pilih organisasi Anda. Anda hanya dapat mengakses halaman VPC Service Controls di tingkat organisasi.
Di halaman VPC Service Controls, klik Dasbor pelanggaran. Halaman Dasbor pelanggaran akan muncul.
Memfilter: Di daftar Filter, pilih opsi yang diperlukan untuk memfilter dan melihat data tertentu—misalnya, kepala sekolah, kebijakan akses, resource. Untuk menerapkan nilai tertentu dari salah satu tabel sebagai filter, klik Tambahkan filter sebelum nilai.
Interval waktu: Untuk memilih rentang waktu data, klik salah satu interval waktu yang telah ditentukan sebelumnya. Untuk menentukan rentang waktu kustom, klik Kustom.
Tabel dan diagram: Scroll halaman Dasbor pelanggaran untuk melihat data yang dikategorikan dalam berbagai tabel dan diagram. Dasbor pelanggaran menampilkan tabel dan diagram berikut:
Pelanggaran
Jumlah pelanggaran
Pelanggaran teratas menurut akun utama
Pelanggaran teratas menurut IP utama
Pelanggaran teratas menurut layanan
Pelanggaran teratas menurut metode
Pelanggaran teratas menurut resource
Pelanggaran teratas menurut perimeter layanan
Pelanggaran teratas menurut kebijakan akses
Memecahkan masalah penolakan akses: Klik token pemecahan masalah penolakan akses yang tercantum dalam tabel Pelanggaran untuk mendiagnosis penolakan akses menggunakan penganalisis pelanggaran. Kontrol Layanan VPC membuka penganalisis pelanggaran dan menampilkan hasil pemecahan masalah penolakan akses.
Untuk mengetahui informasi tentang cara menggunakan penganalisis pelanggaran, lihat Mendiagnosis peristiwa penolakan akses menggunakan penganalisis pelanggaran Kontrol Layanan VPC (Pratinjau).
Penomoran halaman: Dasbor pelanggaran melakukan penomoran halaman pada data yang ditampilkan di semua tabel. Klik Sebelumnya dan Berikutnya untuk membuka dan melihat data yang dipaginasi.
Ubah sink Router Log: Untuk mengubah sink Router Log yang dikonfigurasi, klik Edit sink log.
Untuk mengetahui informasi tentang cara mengubah sink Log Router, lihat Mengelola sink.
Di konsol Trusted Cloud , buka halaman VPC Service Controls.
Jika diminta, pilih organisasi Anda.
Di halaman VPC Service Controls, klik perimeter layanan yang melindungi project yang berisi bucket log Anda.
Buat aturan ingress yang memungkinkan Anda mengakses Cloud Logging API di project.
Di konsol Trusted Cloud , buka halaman Log Router.
Di halaman Log Router, pilih Menu untuk sink Log Router yang dikonfigurasi, lalu pilih Lihat detail sink.
Dalam dialog Sink details, dari kolom Writer identity, salin akun layanan yang digunakan sink Log Router.
Di konsol Trusted Cloud , buka halaman VPC Service Controls.
Jika diminta, pilih organisasi Anda.
Di halaman VPC Service Controls, klik perimeter layanan yang melindungi project yang berisi bucket log Anda.
Buat aturan masuk yang memungkinkan akun layanan sink Log Router mengakses Cloud Logging API di project.
Kontrol Layanan VPC tidak mengisi ulang log audit dari bucket tingkat project lainnya:
Jika Anda membuat bucket log baru saat menyiapkan dasbor pelanggaran, Kontrol Layanan VPC tidak mengisi ulang log yang ada dari project lain dalam organisasi Anda ke bucket log yang baru dibuat. Dasbor akan tampak kosong hingga Kontrol Layanan VPC mencatat pelanggaran baru dan merutekan log ini ke bucket log baru.
Jika Anda memilih bucket log yang ada saat menyiapkan dasbor pelanggaran, dasbor akan menampilkan informasi semua log yang ada dari bucket log yang dipilih. Dasbor tidak menampilkan log dari project lain dalam organisasi Anda karena Kontrol Layanan VPC tidak mengisi ulang log ini ke dalam bucket log yang dipilih.
- Logging audit Kontrol Layanan VPC
- Mendiagnosis masalah menggunakan pemecah masalah Kontrol Layanan VPC
- Mendiagnosis peristiwa penolakan akses menggunakan penganalisis pelanggaran Kontrol Layanan VPC (Pratinjau)
- Memecahkan masalah umum Kontrol Layanan VPC dengan Trusted Cloud by S3NS layanan
Peran yang diperlukan
Menyiapkan dasbor
Untuk menyiapkan dasbor pelanggaran, Anda perlu mengonfigurasi bucket log untuk menggabungkan log audit Kontrol Layanan VPC dan membuat sink Log Router tingkat organisasi yang akan merutekan semua log audit Kontrol Layanan VPC ke bucket log.
Untuk menyiapkan dasbor pelanggaran bagi organisasi Anda, lakukan tindakan berikut satu kali:
Operasi ini membutuhkan waktu sekitar satu menit hingga selesai.
Melihat penolakan akses di dasbor
Setelah menyiapkan dasbor pelanggaran, Anda dapat menggunakan dasbor untuk melihat detail tentang penolakan akses oleh perimeter layanan di organisasi Anda.
Di halaman Dasbor pelanggaran, Anda dapat melakukan operasi berikut:
Memecahkan masalah
Jika Anda mengalami masalah saat menggunakan dasbor pelanggaran, coba pecahkan masalah dan selesaikan masalah tersebut seperti yang dijelaskan di bagian berikut.
Perimeter layanan menolak akses ke akun pengguna Anda
Jika Anda mengalami error karena izin yang tidak memadai, periksa apakah ada perimeter layanan dalam organisasi Anda yang menolak akses ke Cloud Logging API. Untuk mengatasi masalah ini, buat aturan ingress yang memungkinkan Anda mengakses Cloud Logging API:
Perimeter layanan menolak akses ke bucket log
Jika Kontrol Layanan VPC tidak merutekan log audit Anda ke bucket log yang dikonfigurasi, Anda mungkin harus membuat aturan masuk yang mengizinkan akun layanan sink Log Router mengakses Cloud Logging API di perimeter layanan Anda: