위반 대시보드 설정 및 보기

이 페이지에서는 VPC 서비스 제어 위반 대시보드를 설정하고 사용하여 조직의 서비스 경계별 액세스 거부에 대한 세부정보를 보는 방법을 설명합니다.

비용

VPC 서비스 제어 위반 대시보드를 사용할 때는 다음 청구 가능한 Trusted Cloud구성요소 사용에 대한 비용을 고려해야 합니다.

  • 위반 대시보드를 설정하는 동안 조직에 Cloud Logging 리소스를 배포하므로 이러한 리소스를 사용하면 비용이 발생합니다.

  • 위반 대시보드에 조직 수준 로그 라우터 싱크를 사용하므로 VPC 서비스 제어는 구성된 로그 버킷의 모든 감사 로그를 중복합니다. 로그 버킷을 사용하면 비용이 발생합니다. 로그 버킷 사용 예상 비용을 추정하려면 감사 로그 양을 쿼리하고 계산합니다. 기존 로그를 쿼리하는 방법에 대한 자세한 내용은 로그 보기를 참조하세요.

Cloud Logging 및 Cloud Monitoring 가격 책정에 대한 자세한 내용은 Google Cloud Observability 가격 책정을 참조하세요.

시작하기 전에

  1. In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

    Go to project selector

  2. Verify that billing is enabled for your Trusted Cloud project.

  3. Enable the Service Usage API.

    Enable the API

    4. 필요한 역할

    • 위반 대시보드를 설정하는 데 필요한 권한을 얻으려면 위반 대시보드 설정 중에 관리자에게 로그 버킷을 구성하는 프로젝트에 대한 Logging 관리자(roles/logging.admin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

      이 사전 정의된 역할에는 위반 대시보드를 설정하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

      필수 권한

      위반 대시보드를 설정하려면 다음 권한이 필요합니다.

      • 선택한 프로젝트의 로그 버킷 나열: logging.buckets.list
      • 새 로그 버킷 만들기: logging.buckets.create
      • 선택한 로그 버킷에서 로그 애널리틱스 사용 설정: logging.buckets.update
      • 새 로그 라우터 싱크 만들기: logging.sinks.create

      커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

    • 위반 대시보드를 보는 데 필요한 권한을 얻으려면 위반 대시보드 설정 중에 관리자에게 로그 버킷을 구성하는 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

      역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

      이러한 사전 정의된 역할에는 위반 대시보드를 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

      필수 권한

      위반 대시보드를 보려면 다음 권한이 필요합니다.

      • 액세스 정책 이름 표시: accesscontextmanager.policies.list
      • 프로젝트 이름 표시: resourcemanager.projects.get

      커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

    대시보드 설정

    위반 대시보드를 설정하려면 VPC 서비스 제어 감사 로그를 집계하는 로그 버킷을 구성하고 모든 VPC 서비스 제어 감사 로그를 로그 버킷으로 라우팅하는 조직 수준의 로그 라우터 싱크를 만들어야 합니다.

    조직의 위반 대시보드를 설정하려면 다음을 한 번 수행합니다.

    1. Trusted Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

      VPC 서비스 제어로 이동

      메시지가 표시되면 조직을 선택합니다. 조직 수준에서만 VPC 서비스 제어 페이지에 액세스할 수 있습니다.

    2. VPC 서비스 제어 페이지에서 위반 대시보드를 클릭합니다.

    3. 위반 대시보드 설정 페이지의 프로젝트 필드에서 감사 로그를 집계할 로그 버킷이 포함된 프로젝트를 선택합니다.

    4. 로그 버킷 대상에서 기존 로그 버킷 또는 새 로그 버킷 만들기를 선택합니다.

      • 기존 로그 버킷을 사용하려면 로그 버킷 목록에서 필요한 로그 버킷을 선택합니다.

      • 로그 버킷을 만드는 경우 다음 필드에 필수 정보를 입력합니다.

        1. 이름: 로그 버킷 이름입니다.

        2. 설명: 로그 버킷에 대한 설명입니다.

        3. 리전: 로그를 저장할 리전입니다.

        4. 보관 기간: Cloud Logging에서 로그를 보관해야 하는 커스텀 기간입니다.

        이러한 필드에 대한 자세한 내용은 버킷 만들기를 참조하세요.

    5. 로그 라우터 싱크 만들기를 클릭합니다. VPC 서비스 제어는 선택한 프로젝트에 reserved_vpc_sc_dashboard_log_router라는 새 로그 라우터 싱크를 만듭니다.

    이 작업이 완료되는 데 약 1분 정도 걸립니다.

    대시보드에서 액세스 거부 보기

    위반 대시보드를 설정한 후 대시보드를 사용하여 조직의 서비스 경계별 액세스 거부에 대한 세부정보를 볼 수 있습니다.

    1. Trusted Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

      VPC 서비스 제어로 이동

      메시지가 표시되면 조직을 선택합니다. 조직 수준에서만 VPC 서비스 제어 페이지에 액세스할 수 있습니다.

    2. VPC 서비스 제어 페이지에서 위반 대시보드를 클릭합니다. 위반 대시보드 페이지가 표시됩니다.

    위반 대시보드 페이지에서 다음 작업을 수행할 수 있습니다.

    • 필터링: 필터 목록에서 필요한 옵션을 선택하여 특정 데이터(예: 주 구성원, 액세스 정책, 리소스)를 필터링하고 봅니다. 표 중 하나의 특정 값을 필터로 적용하려면 값 앞에 있는 필터 추가를 클릭합니다.

    • 시간 간격: 데이터 기간을 선택하려면 사전 정의된 시간 간격 중 하나를 클릭합니다. 커스텀 기간을 정의하려면 커스텀을 클릭합니다.

    • 표 및 차트: 위반 대시보드 페이지를 스크롤하여 다양한 표와 차트로 분류된 데이터를 봅니다. 위반 대시보드에는 다음 표와 차트가 표시됩니다.

      • 위반

      • 위반 수

      • 주 구성원별 주요 위반

      • 주 구성원 IP별 주요 위반

      • 서비스별 주요 위반

      • 메서드별 주요 위반

      • 리소스별 주요 위반

      • 서비스 경계별 주요 위반

      • 액세스 정책별 주요 위반

    • 액세스 거부 문제 해결: 위반 표에 나열된 액세스 거부의 문제 해결 토큰을 클릭하여 위반 분석 도구로 액세스 거부를 진단합니다. VPC 서비스 제어에서 위반 분석 도구를 열고 액세스 거부 문제 해결 결과를 표시합니다.

      위반 분석 도구 사용 방법은 VPC 서비스 제어 위반 분석 도구를 사용하여 액세스 거부 이벤트 진단(프리뷰)을 참조하세요.

    • 페이지로 나누기: 위반 대시보드는 모든 표에 표시된 데이터를 페이지로 나눕니다. 이전 다음을 클릭하여 페이지로 나눈 데이터를 탐색하고 봅니다.

    • 로그 라우터 싱크 수정: 구성된 로그 라우터 싱크를 수정하려면 로그 싱크 수정을 클릭합니다.

      로그 라우터 싱크 수정 방법은 싱크 관리를 참조하세요.

    문제 해결

    위반 대시보드를 사용하는 중에 문제가 발생하면 다음 섹션의 설명대로 문제를 해결해 보세요.

    서비스 경계에서 사용자 계정에 대한 액세스 거부

    권한이 부족하여 오류가 발생하면 조직 내 서비스 경계에서 Cloud Logging API에 대한 액세스를 거부하는지 확인합니다. 이 문제를 해결하려면 Cloud Logging API에 액세스할 수 있는 인그레스 규칙을 만듭니다.

    1. Trusted Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

      VPC 서비스 제어로 이동

      메시지가 표시되면 조직을 선택합니다.

    2. VPC 서비스 제어 페이지에서 로그 버킷이 포함된 프로젝트를 보호하는 서비스 경계를 클릭합니다.

    3. 프로젝트에서 Cloud Logging API에 액세스할 수 있는 인그레스 규칙을 만듭니다.

    서비스 경계에서 로그 버킷에 대한 액세스 거부

    VPC 서비스 제어에서 감사 로그를 구성된 로그 버킷으로 라우팅하지 않는 경우 로그 라우터 싱크의 서비스 계정이 서비스 경계의 Cloud Logging API에 액세스하도록 허용하는 인그레스 규칙을 만들어야 할 수 있습니다.

    1. Trusted Cloud 콘솔에서 로그 라우터 페이지로 이동합니다.

      로그 라우터로 이동

    2. 로그 라우터 페이지에서 구성된 로그 라우터 싱크의 메뉴를 선택한 후 싱크 세부정보 보기를 선택합니다.

    3. 싱크 세부정보 대화상자의 작성자 ID 필드에서 로그 라우터 싱크가 사용하는 서비스 계정을 복사합니다.

    4. Trusted Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

      VPC 서비스 제어로 이동

      메시지가 표시되면 조직을 선택합니다.

    5. VPC 서비스 제어 페이지에서 로그 버킷이 포함된 프로젝트를 보호하는 서비스 경계를 클릭합니다.

    6. 로그 라우터 싱크의 서비스 계정이 프로젝트의 Cloud Logging API에 액세스하도록 허용하는 인그레스 규칙을 만듭니다.

    제한사항

    • VPC 서비스 제어는 다른 프로젝트 수준 버킷의 감사 로그를 백필하지 않습니다.

      • 위반 대시보드를 설정하는 동안 새 로그 버킷을 만들면 VPC 서비스 제어는 조직 내 다른 프로젝트의 기존 로그를 새로 만든 로그 버킷에 백필하지 않습니다. 대시보드는 VPC 서비스 제어에서 새 위반을 로깅하고 이러한 로그를 새 로그 버킷으로 라우팅할 때까지 빈 상태로 표시됩니다.

      • 위반 대시보드를 설정하는 중에 기존 로그 버킷을 선택하면 선택한 로그 버킷의 모든 기존 로그 정보가 대시보드에 표시됩니다. VPC 서비스 제어는 조작 내 다른 프로젝트의 로그를 선택한 로그 버킷에 백필하지 않으므로 대시보드에는 이러한 로그가 표시되지 않습니다.

    다음 단계