このページの一部またはすべての情報は、S3NS の Trusted Cloud に適用されない場合があります。

違反ダッシュボードを設定して表示する

このページでは、VPC Service Controls の違反ダッシュボードを設定して使用し、組織内のサービス境界によるアクセス拒否の詳細を表示する方法について説明します。

費用

VPC Service Controls の違反ダッシュボードを使用する場合は、 Trusted Cloudの次の課金対象コンポーネントの使用に対して発生する費用を考慮する必要があります。

違反ダッシュボードの設定時に Cloud Logging リソースを組織にデプロイするため、これらのリソースの使用に対して費用が発生します。
違反ダッシュボードに組織レベルのログルーターシンクを使用するため、VPC Service Controls は構成されたログバケット内のすべての監査ログを複製します。ログバケットの使用に対して費用が発生します。ログバケットの使用に対する想定費用を見積もるには、監査ログの量をクエリして計算します。既存のログのクエリの詳細については、ログを表示するをご覧ください。

Cloud Logging と Cloud Monitoring の料金については、Google Cloud Observability の料金をご覧ください。

始める前に

In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Trusted Cloud project.
Enable the Service Usage API.
Enable the API

必要なロール

違反ダッシュボードの設定に必要な権限を取得するには、違反ダッシュボードの設定時にログバケットを構成するプロジェクトに対する Logging 管理者（roles/logging.admin）IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

この事前定義ロールには、違反ダッシュボードの設定に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限

違反ダッシュボードを設定するには、次の権限が必要です。
- 選択したプロジェクトのログバケットを一覧表示する: logging.buckets.list
- 新しいログバケットを作成する: logging.buckets.create
- 選択したログバケットでログ分析を有効にする: logging.buckets.update
- 新しいログルーターシンクを作成する: logging.sinks.create
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
違反ダッシュボードの表示に必要な権限を取得するには、違反ダッシュボードの設定時にログバケットを構成するプロジェクトに対する次の IAM ロールを付与するよう、管理者に依頼してください。
- ログ表示アクセス者（roles/logging.viewAccessor）
- VPC Service Controls トラブルシューティング閲覧者（roles/accesscontextmanager.vpcScTroubleshooterViewer）
ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

これらの事前定義ロールには、違反ダッシュボードの表示に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限

違反ダッシュボードを表示するには、次の権限が必要です。
- アクセスポリシー名を表示する: accesscontextmanager.policies.list
- プロジェクト名を表示する: resourcemanager.projects.get
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

ダッシュボードを設定する

違反ダッシュボードを設定するには、VPC Service Controls 監査ログを集約するようにログバケットを構成し、すべての VPC Service Controls 監査ログをログバケットにルーティングする、組織レベルのログルーターシンクを作成する必要があります。

組織の違反ダッシュボードを設定するには、次の操作を 1 回行います。

Trusted Cloud コンソールで、[VPC Service Controls] ページに移動します。

[VPC Service Controls] に移動

プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページには組織レベルでのみアクセスできます。
[VPC Service Controls] ページで、[違反ダッシュボード] をクリックします。
[違反ダッシュボードの設定] ページの [プロジェクト] フィールドで、監査ログを集約するログバケットを含むプロジェクトを選択します。
[ログバケットの宛先] で、[既存のログバケット] または [新しいログバケットを作成] を選択します。
- 既存のログバケットを使用する場合は、[ログバケット] リストで、必要なログバケットを選択します。
- 新しいログバケットを作成する場合は、次のフィールドに必要な情報を入力します。
  1. 名前: ログバケットの名前。
  2. 説明: ログバケットの説明。
  3. リージョン: ログを保存するリージョン。
    
    注: ログバケットの作成後にログバケットのリージョンを変更することはできません。
  4. 保持期間: Cloud Logging がログを保持する必要があるカスタムの期間。
  これらのフィールドの詳細については、バケットを作成するをご覧ください。
[ログルーターシンクを作成] をクリックします。VPC Service Controls は、選択したプロジェクトに reserved_vpc_sc_dashboard_log_router という名前の新しいログルーターシンクを作成します。

このオペレーションは、完了するまでに 1 分ほどかかります。

ダッシュボードでアクセス拒否を表示する

違反ダッシュボードを設定すると、ダッシュボードを使用して、組織内のサービス境界によるアクセス拒否の詳細を表示できます。

Trusted Cloud コンソールで、[VPC Service Controls] ページに移動します。

[VPC Service Controls] に移動

プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページには組織レベルでのみアクセスできます。
[VPC Service Controls] ページで、[違反ダッシュボード] をクリックします。[違反ダッシュボード] ページが表示されます。

[違反ダッシュボード] ページでは、次の操作を行うことができます。

フィルタリング: [ フィルタ] リストで、必要なオプションを選択して、特定のデータ（プリンシパル、アクセスポリシー、リソースなど）をフィルタして表示します。いずれかのテーブルの特定の値にフィルタを適用するには、値の前の [フィルタを追加] をクリックします。
期間: データの期間を選択するには、定義済みの期間のいずれかをクリックします。カスタムの期間を定義するには、[カスタム] をクリックします。
表とグラフ: [違反ダッシュボード] ページをスクロールして、さまざまな表とグラフに分類されたデータを表示します。違反ダッシュボードには、次の表とグラフが表示されます。
- 違反
- 違反数
- プリンシパル別の上位の違反
- プリンシパル IP 別の上位の違反
- サービス別の上位の違反
- メソッド別の上位の違反
- リソース別の上位の違反
- サービス境界別の上位の違反
- アクセスポリシー別の上位の違反
アクセス拒否のトラブルシューティング: [違反] テーブルに表示されているアクセス拒否のトラブルシューティングトークンをクリックして、違反分析ツールを使用してアクセス拒否を診断します。VPC Service Controls は違反分析ツールを開き、アクセス拒否のトラブルシューティング結果を表示します。

違反分析ツールの使用方法については、VPC Service Controls の違反分析ツールを使用してアクセス拒否イベントを診断する（プレビュー）をご覧ください。
ページ設定: 違反ダッシュボードでは、すべての表に表示されるデータがページ設定されます。（前へ）ボタンと（次へ）ボタンをクリックして、ページ設定されたデータを移動して表示します。
ログルーターシンクを変更する: 構成済みのログルーターシンクを変更するには、[ログシンクを編集] をクリックします。

ログルーターのシンクの変更については、シンクを管理するをご覧ください。

トラブルシューティング

違反ダッシュボードの使用中に問題が発生した場合は、次のセクションの説明に沿ってトラブルシューティングを行い、問題を解決してください。

サービス境界によってユーザーアカウントへのアクセスが拒否された

権限が不足しているためにエラーが発生した場合は、組織内のサービス境界が Cloud Logging API へのアクセスを拒否していないか確認してください。この問題を解決するには、Cloud Logging API にアクセスできる上り（内向き）ルールを作成します。

Trusted Cloud コンソールで、[VPC Service Controls] ページに移動します。

[VPC Service Controls] に移動

プロンプトが表示されたら、組織を選択します。
[VPC Service Controls] ページで、ログバケットを含むプロジェクトを保護するサービス境界をクリックします。
プロジェクトで Cloud Logging API にアクセスできるようにする上り（内向き）ルールを作成します。

サービス境界がログバケットへのアクセスを拒否した

VPC Service Controls が監査ログを構成済みのログバケットに転送しない場合は、Log Router シンクのサービスアカウントがサービス境界内の Cloud Logging API にアクセスできるようにする、上り（内向き）ルールを作成する必要があります。

Trusted Cloud コンソールで、[ログルーター] ページに移動します。

[ログルーター] に移動
[ログルーター] ページで、構成済みのログルーターシンクの メニューを選択し、[シンクの詳細を表示] を選択します。
[シンクの詳細] ダイアログの [書き込み ID] フィールドから、Log Router シンクが使用するサービスアカウントをコピーします。
Trusted Cloud コンソールで、[VPC Service Controls] ページに移動します。

[VPC Service Controls] に移動

プロンプトが表示されたら、組織を選択します。
[VPC Service Controls] ページで、ログバケットを含むプロジェクトを保護するサービス境界をクリックします。
プロジェクト内の Cloud Logging API に Log Router シンクのサービスアカウントがアクセスできるようにする上り（内向き）ルールを作成します。

制限事項

VPC Service Controls は、他のプロジェクトレベルのバケットから監査ログをバックフィルしません。
- 違反ダッシュボードの設定中に新しいログバケットを作成した場合、VPC Service Controls は、組織内の他のプロジェクトの既存のログを、新たに作成されたログバケットにバックフィルしません。VPC Service Controls が新しい違反をログに記録し、これらのログを新しいログバケットに転送するまで、ダッシュボードは空白のままになります。
- 違反ダッシュボードの設定時に既存のログバケットを選択すると、選択したログバケットの既存のすべてのログの情報がダッシュボードに表示されます。VPC Service Controls は、選択したログバケットにこれらのログをバックフィルしないため、ダッシュボードには組織内の他のプロジェクトのログは表示されません。