Questa pagina descrive come configurare e utilizzare la dashboard delle violazioni dei Controlli di servizio VPC per visualizzare i dettagli relativi ai rifiuti di accesso da parte dei perimetri di servizio nella tua organizzazione.
Costo
Quando utilizzi la dashboard delle violazioni di Controlli di servizio VPC, devi considerare il costo che sostieni per l'utilizzo dei seguenti componenti fatturabili di Trusted Cloud:
Poiché durante la configurazione della dashboard delle violazioni vengono implementate risorse Cloud Logging nella tua organizzazione, sostieni costi per l'utilizzo di queste risorse.
Poiché utilizzi un sink del router dei log a livello di organizzazione per la dashboard delle violazioni, i controlli di servizio VPC duplicano tutti gli audit log nel bucket di log configurato. L'utilizzo del bucket di log comporta dei costi. Per stimare il costo potenziale dell'utilizzo del bucket di log, esegui una query e calcola il volume dei log audit. Per ulteriori informazioni sull'esecuzione di query sui log esistenti, consulta Visualizzare i log.
Per informazioni sui prezzi di Cloud Logging e Cloud Monitoring, consulta Prezzi di Google Cloud Observability.
Prima di iniziare
-
In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Service Usage API.
-
Per ottenere le autorizzazioni necessarie per configurare la dashboard delle violazioni, chiedi all'amministratore di concederti il ruolo IAM Logging Admin (
roles/logging.admin) nel progetto in cui configuri un bucket log durante la configurazione della dashboard delle violazioni. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.Questo ruolo predefinito contiene le autorizzazioni necessarie per configurare la dashboard delle violazioni. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per configurare la dashboard delle violazioni sono necessarie le seguenti autorizzazioni:
-
Per elencare i bucket di log del progetto selezionato:
logging.buckets.list -
Per creare un nuovo bucket di log:
logging.buckets.create -
Per abilitare Analisi dei log nel bucket di log selezionato:
logging.buckets.update -
Per creare un nuovo sink del router di log:
logging.sinks.create
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
-
Per elencare i bucket di log del progetto selezionato:
-
Per ottenere le autorizzazioni necessarie per visualizzare la dashboard delle violazioni, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto in cui configuri un bucket log durante la configurazione della dashboard delle violazioni:
-
Logs View Accessor (
roles/logging.viewAccessor) -
Visualizzatore strumento per la risoluzione dei problemi Controlli di servizio VPC (
roles/accesscontextmanager.vpcScTroubleshooterViewer)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare la dashboard delle violazioni. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per visualizzare la dashboard delle violazioni sono necessarie le seguenti autorizzazioni:
-
Per visualizzare i nomi delle policy di accesso:
accesscontextmanager.policies.list -
Per visualizzare i nomi dei progetti:
resourcemanager.projects.get
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
-
Logs View Accessor (
Nella console Trusted Cloud , vai alla pagina Controlli di servizio VPC.
Vai a Controlli di servizio VPC
Se richiesto, seleziona la tua organizzazione. Puoi accedere alla pagina Controlli di servizio VPC solo a livello di organizzazione.
Nella pagina Controlli di servizio VPC, fai clic su Dashboard delle violazioni.
Nella pagina Configurazione della dashboard delle violazioni, nel campo Progetto, seleziona il progetto che contiene il bucket dei log in cui vuoi aggregare gli audit log.
Per Destinazione bucket di log, seleziona Bucket di log esistente o Crea nuovo bucket di log.
Se vuoi utilizzare un bucket di log esistente, seleziona quello che ti serve dall'elenco Bucket di log.
Se crei un nuovo bucket dei log, inserisci le informazioni richieste nei seguenti campi:
Nome: un nome per il bucket dei log.
Descrizione: una descrizione del bucket di log.
Regione: la regione in cui vuoi archiviare i log.
Periodo di conservazione: una durata personalizzata per la quale Cloud Logging deve conservare i log.
Per saperne di più su questi campi, consulta Creare un bucket.
Fai clic su Crea sink del router dei log. I Controlli di servizio VPC creano un nuovo sink del router dei log denominato
reserved_vpc_sc_dashboard_log_routernel progetto selezionato.Nella console Trusted Cloud , vai alla pagina Controlli di servizio VPC.
Vai a Controlli di servizio VPC
Se richiesto, seleziona la tua organizzazione. Puoi accedere alla pagina Controlli di servizio VPC solo a livello di organizzazione.
Nella pagina Controlli di servizio VPC, fai clic su Dashboard delle violazioni. Viene visualizzata la pagina Dashboard relative alle violazioni.
Filtro:nell'elenco Filtro, seleziona le opzioni necessarie per filtrare e visualizzare dati specifici, ad esempio principal, policy di accesso, risorsa. Per applicare un valore specifico di una delle tabelle come filtro, fai clic su Aggiungi filtro prima del valore.
Intervalli di tempo:per selezionare l'intervallo di tempo per i dati, fai clic su uno degli intervalli di tempo predefiniti. Per definire un intervallo di tempo personalizzato, fai clic su Personalizzato.
Tabelle e grafici:scorri la pagina Dashboard delle violazioni per visualizzare i dati classificati in diverse tabelle e grafici. La dashboard delle violazioni mostra le seguenti tabelle e i seguenti grafici:
Violazioni
Conteggio violazioni
Violazioni principali per entità
Violazioni principali per IP entità
Violazioni principali per servizio
Violazioni principali per metodo
Violazioni principali per risorsa
Violazioni principali per perimetro di servizio
Violazioni principali per policy di accesso
Risolvi i problemi relativi ai rifiuti di accesso:fai clic sul token di risoluzione dei problemi di un rifiuto di accesso elencato nella tabella Violazioni per diagnosticare il rifiuto di accesso utilizzando lo strumento di analisi delle violazioni. Controlli di servizio VPC apre l'analizzatore delle violazioni e mostra il risultato della risoluzione dei problemi del rifiuto di accesso.
Per informazioni sull'utilizzo dell'analizzatore delle violazioni, consulta Diagnosticare un evento di negazione dell'accesso utilizzando l'analizzatore delle violazioni dei Controlli di servizio VPC (anteprima).
Numerazione pagina:la dashboard delle violazioni numera le pagine dei dati visualizzati in tutte le tabelle. Fai clic su Precedente e Avanti per navigare e visualizzare i dati paginati.
Modifica sink del router dei log:per modificare il sink del router dei log configurato, fai clic su Modifica sink di log.
Per informazioni sulla modifica di un sink Log Router, vedi Gestire i sink.
Nella console Trusted Cloud , vai alla pagina Controlli di servizio VPC.
Vai a Controlli di servizio VPC
Se richiesto, seleziona la tua organizzazione.
Nella pagina Controlli di servizio VPC, fai clic sul perimetro di servizio che protegge il progetto contenente il bucket dei log.
Crea una regola di ingresso che ti consenta di accedere all'API Cloud Logging nel progetto.
Nella console Trusted Cloud , vai alla pagina Router dei log.
Nella pagina Log Router, seleziona Menu per il sink Log Router configurato, quindi seleziona Visualizza dettagli sink.
Nella finestra di dialogo Dettagli sink, copia l'account di servizio utilizzato dal sink Log Router dal campo Identità writer.
Nella console Trusted Cloud , vai alla pagina Controlli di servizio VPC.
Vai a Controlli di servizio VPC
Se richiesto, seleziona la tua organizzazione.
Nella pagina Controlli di servizio VPC, fai clic sul perimetro di servizio che protegge il progetto contenente il bucket dei log.
Crea una regola di ingresso che consenta al account di servizio del sink del router di log di accedere all'API Cloud Logging nel progetto.
Controlli di servizio VPC non esegue il backfill degli audit log di altri bucket a livello di progetto:
Se crei un nuovo bucket di log durante la configurazione della dashboard delle violazioni, i Controlli di servizio VPC non eseguono il backfill dei log esistenti di altri progetti all'interno della tua organizzazione nel bucket di log appena creato. La dashboard appare vuota finché Controlli di servizio VPC non registra nuove violazioni e non indirizza questi log al nuovo bucket log.
Se selezioni un bucket di log esistente durante la configurazione della dashboard delle violazioni, la dashboard mostra le informazioni di tutti i log esistenti del bucket di log selezionato. La dashboard non mostra i log di altri progetti all'interno della tua organizzazione perché Controlli di servizio VPC non esegue il backfill di questi log nel bucket di log selezionato.
- Audit logging dei controlli di servizio VPC
- Diagnosticare i problemi utilizzando lo strumento per la risoluzione dei problemi relativi a Controlli di servizio VPC
- Diagnosticare un evento di negazione dell'accesso utilizzando lo strumento di analisi delle violazioni dei Controlli di servizio VPC (anteprima)
- Risolvere i problemi comuni dei Controlli di servizio VPC con i servizi Trusted Cloud by S3NS
Ruoli obbligatori
Configurare la dashboard
Per configurare la dashboard delle violazioni, devi configurare un bucket di log per aggregare gli audit log Controlli di servizio VPC e creare un sink del router dei log a livello di organizzazione che eseguirà il routing di tutti gli audit log Controlli di servizio VPC al bucket di log.
Per configurare la dashboard delle violazioni per la tua organizzazione, esegui questa operazione una sola volta:
Il completamento di questa operazione richiede circa un minuto.
Visualizzare i rifiuti di accesso nella dashboard
Dopo aver configurato la dashboard delle violazioni, puoi utilizzarla per visualizzare i dettagli sui rifiuti di accesso da parte dei perimetri di servizio nella tua organizzazione.
Nella pagina Dashboard delle violazioni, puoi eseguire le seguenti operazioni:
Risoluzione dei problemi
Se riscontri problemi durante l'utilizzo della dashboard delle violazioni, prova a risolverli come descritto nelle sezioni seguenti.
Un perimetro di servizio ha negato l'accesso al tuo account utente
Se si verifica un errore a causa di autorizzazioni insufficienti, controlla se un perimetro di servizio all'interno della tua organizzazione nega l'accesso all'API Cloud Logging. Per risolvere questo problema, crea una regola di ingresso che ti consenta di accedere all'API Cloud Logging:
Un perimetro di servizio ha negato l'accesso al bucket di log
Se Controlli di servizio VPC non indirizza i log di controllo al bucket di log configurato, potresti dover creare una regola di ingresso che consenta al service account del sink del router di log di accedere all'API Cloud Logging nel perimetro di servizio: