Nesta página, descrevemos como configurar e usar o painel de violações do VPC Service Controls para conferir os detalhes sobre as negações de acesso por perímetros de serviço na sua organização.
Custo
Ao usar o painel de violações do VPC Service Controls, considere o custo incorrido pelo uso dos seguintes componentes faturáveis do Trusted Cloud:
Como você implanta recursos do Cloud Logging na sua organização ao configurar o painel de violações, há um custo pelo uso desses recursos.
Como você usa um coletor do roteador de registros no nível da organização para o painel de violações, o VPC Service Controls duplica todos os registros de auditoria no bucket de registros configurado. Você vai gerar custos ao usar o bucket de registros. Para estimar o custo potencial do uso do bucket de registros, consulte e calcule o volume dos seus registros de auditoria. Para mais informações sobre como consultar seus registros atuais, consulte Ver registros.
Para informações sobre os preços do Cloud Logging e do Cloud Monitoring, consulte Preços do Google Cloud Observability.
Antes de começar
-
In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Service Usage API.
-
Para receber as permissões necessárias para configurar o painel de violações, peça ao administrador para conceder a você o papel do IAM de Administrador do Logging (
roles/logging.admin) no projeto em que você configura um bucket de registros durante a configuração do painel de violações. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.Esse papel predefinido contém as permissões necessárias para configurar o painel de violações. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para configurar o painel de violações:
-
Para listar os buckets de registros do projeto selecionado:
logging.buckets.list -
Para criar um bucket de registros:
logging.buckets.create -
Para ativar a Análise de registros no bucket de registros selecionado:
logging.buckets.update -
Para criar um novo gravador do roteador de registros:
logging.sinks.create
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
-
Para listar os buckets de registros do projeto selecionado:
-
Para ter as permissões necessárias para acessar o painel de violações, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto em que você configura um bucket de registros durante a configuração do painel de violações:
-
Acessador de exibição de registros (
roles/logging.viewAccessor) -
Leitor do solucionador de problemas do VPC Service Controls (
roles/accesscontextmanager.vpcScTroubleshooterViewer)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para acessar o painel de violações. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para acessar o painel de violações:
-
Para mostrar os nomes das políticas de acesso:
accesscontextmanager.policies.list -
Para mostrar os nomes dos projetos:
resourcemanager.projects.get
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
-
Acessador de exibição de registros (
No console Trusted Cloud , acesse a página VPC Service Controls.
Acessar o VPC Service Controls
Se solicitado, selecione a organização. Só é possível acessar a página VPC Service Controls no nível da organização.
Na página VPC Service Controls, clique em Painel de violações.
Na página Configuração do painel de violações, no campo Projeto, selecione o projeto que contém o bucket de registros em que você quer agregar os registros de auditoria.
Em Destino do bucket de registros, selecione Bucket de registros atual ou Criar novo bucket de registros.
Se você quiser usar um bucket de registros atual, na lista Bucket de registros, selecione o bucket necessário.
Se você criar um bucket de registros, insira as informações necessárias nos seguintes campos:
Nome: um nome para o bucket de registros.
Descrição: uma descrição do bucket de registros.
Região: a região em que você quer armazenar os registros.
Período de retenção: uma duração personalizada em que o Cloud Logging precisa reter seus registros.
Para mais informações sobre esses campos, consulte Criar um bucket.
Clique em Criar um coletor para o roteador de registros. O VPC Service Controls cria um novo coletor do roteador de registros chamado
reserved_vpc_sc_dashboard_log_routerno projeto selecionado.No console Trusted Cloud , acesse a página VPC Service Controls.
Acessar o VPC Service Controls
Se solicitado, selecione a organização. Só é possível acessar a página VPC Service Controls no nível da organização.
Na página VPC Service Controls, clique em Painel de violações. A página Painel de violações é exibida.
Filtragem:na lista Filtro, selecione as opções necessárias para filtrar e visualizar dados específicos, como principal, política de acesso e recurso. Para aplicar um valor específico de uma das tabelas como filtro, clique em Adicionar filtro antes do valor.
Intervalos de tempo:para selecionar o período dos dados, clique em um dos intervalos predefinidos. Para definir um período personalizado, clique em Personalizado.
Tabelas e gráficos:role a página do painel de violações para ver os dados categorizados em diferentes tabelas e gráficos. O painel de violações mostra as seguintes tabelas e gráficos:
Violações
Contagem de violações
Principais violações por principal
Principais violações por IP do principal
Principais violações por serviço
Principais violações por método
Principais violações por recurso
Principais violações por perímetro de serviço
Principais violações por política de acesso
Resolver problemas de negação de acesso:clique no token de solução de problemas de uma negação de acesso listada na tabela Violações para diagnosticar a negação de acesso usando o analisador de violações. O VPC Service Controls abre o analisador de violações e mostra o resultado da solução de problemas da negação de acesso.
Para informações sobre como usar o analisador de violações, consulte Diagnosticar um evento de negação de acesso usando o analisador de violações do VPC Service Controls (prévia).
Paginação:o painel de violações pagina os dados mostrados em todas as tabelas. Clique em Anterior e Próxima para navegar e ver os dados paginados.
Modificar o coletor do Roteador de registros:para modificar o coletor configurado do Roteador de registros, clique em Editar coletor de registros.
Para informações sobre como modificar um coletor do roteador de registros, consulte Gerenciar coletores.
No console Trusted Cloud , acesse a página VPC Service Controls.
Acessar o VPC Service Controls
Se solicitado, selecione a organização.
Na página VPC Service Controls, clique no perímetro de serviço que protege o projeto que contém seu bucket de registros.
Crie uma regra de entrada que permita acessar a API Cloud Logging no projeto.
No console Trusted Cloud , acesse a página Roteador de registros.
Na página Roteador de registros, selecione o Menu do coletor configurado do Roteador de registros e, em seguida, Ver detalhes do coletor.
Na caixa de diálogo Detalhes do coletor, no campo Identidade do gravador, copie a conta de serviço usada pelo coletor do Log Router.
No console Trusted Cloud , acesse a página VPC Service Controls.
Acessar o VPC Service Controls
Se solicitado, selecione a organização.
Na página VPC Service Controls, clique no perímetro de serviço que protege o projeto que contém seu bucket de registros.
Crie uma regra de entrada que permita que a conta de serviço do gravador do Log Router acesse a API Cloud Logging no projeto.
O VPC Service Controls não preenche os registros de auditoria de outros buckets no nível do projeto:
Se você criar um bucket de registros ao configurar o painel de violações, o VPC Service Controls não vai preencher os registros atuais de outros projetos na sua organização no bucket de registros recém-criado. O painel vai ficar vazio até que os VPC Service Controls registrem novas violações e encaminhem esses registros para o novo bucket de registros.
Se você selecionar um bucket de registros ao configurar o painel de violações, ele vai mostrar informações de todos os registros do bucket selecionado. O painel não mostra registros de outros projetos na sua organização porque o VPC Service Controls não preenche esses registros no bucket de registros selecionado.
- Geração de registros de auditoria do VPC Service Controls
- Diagnosticar problemas usando o solucionador de problemas do VPC Service Controls
- Diagnosticar um evento de negação de acesso usando o analisador de violações do VPC Service Controls (prévia)
- Resolver problemas comuns do VPC Service Controls com os serviços do Trusted Cloud by S3NS
Funções exigidas
Configurar o painel
Para configurar o painel de violações, configure um bucket de registros para agregar os registros de auditoria do VPC Service Controls e crie um coletor do Log Router no nível da organização que vai direcionar todos os registros de auditoria do VPC Service Controls para o bucket de registros.
Para configurar o painel de violações da sua organização, faça o seguinte uma única vez:
Essa operação leva cerca de um minuto para ser concluída.
Ver negações de acesso no painel
Depois de configurar o painel de violações, é possível usá-lo para conferir os detalhes sobre as negações de acesso por perímetros de serviço na sua organização.
Na página Painel de violações, é possível realizar as seguintes operações:
Resolver problemas
Se você tiver problemas ao usar o painel de violações, tente resolver os problemas conforme descrito nas seções a seguir.
Um perímetro de serviço negou o acesso à sua conta de usuário
Se você encontrar um erro devido a permissões insuficientes, verifique se algum perímetro de serviço na sua organização está negando o acesso à API Cloud Logging. Para resolver esse problema, crie uma regra de entrada que permita acessar a API Cloud Logging:
Um perímetro de serviço negou o acesso ao bucket de registros
Se o VPC Service Controls não encaminhar seus registros de auditoria para o bucket de registros configurado, talvez seja necessário criar uma regra de entrada que permita que a conta de serviço do coletor do Log Router acesse a API Cloud Logging no perímetro de serviço: