本页面介绍了如何设置和使用 VPC Service Controls 违规信息中心,以查看组织中服务边界拒绝访问的详细信息。
费用
使用 VPC Service Controls 违规信息中心时,您需要考虑使用 Trusted Cloud的以下可结算组件所产生的费用:
由于您在设置违规情况信息中心时会在组织中部署 Cloud Logging 资源,因此使用这些资源会产生费用。
由于您为违规信息中心使用了组织级日志路由器接收器,因此 VPC Service Controls 会在配置的日志存储桶中复制所有审核日志。使用日志存储桶会产生费用。如需估算使用日志存储桶的潜在费用,请查询并计算审核日志的量。如需详细了解如何查询现有日志,请参阅查看日志。
如需了解 Cloud Logging 和 Cloud Monitoring 价格,请参阅 Google Cloud Observability 价格。
准备工作
-
In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Service Usage API.
-
如需获得设置违规信息中心所需的权限,请让您的管理员为您授予项目的 Logging Admin (
roles/logging.admin) IAM 角色。您可以在设置违规信息中心期间,在该项目中配置日志存储桶。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。此预定义角色包含设置违规信息中心所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需设置违规信息中心,您需要具备以下权限:
-
如需列出所选项目中的日志存储桶,请执行以下操作:
logging.buckets.list -
如需创建新的日志存储桶,请执行以下操作:
logging.buckets.create -
如需在所选日志存储桶中启用 Log Analytics,请执行以下操作:
logging.buckets.update -
如需创建新的日志路由器接收器,请执行以下操作:
logging.sinks.create
-
如需列出所选项目中的日志存储桶,请执行以下操作:
-
如需获得查看违规情况信息中心所需的权限,请让管理员在您设置违规情况信息中心时配置日志存储桶的项目中为您授予以下 IAM 角色:
-
Logs View Accessor (
roles/logging.viewAccessor) -
VPC Service Controls Troubleshooter Viewer (
roles/accesscontextmanager.vpcScTroubleshooterViewer)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含查看违规情况信息中心所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
您需要具备以下权限才能查看违规信息中心:
-
如需显示访问权限政策名称,请执行以下操作:
accesscontextmanager.policies.list -
如需显示项目名称,请执行以下操作:
resourcemanager.projects.get
-
Logs View Accessor (
在 Trusted Cloud 控制台中,前往 VPC Service Controls 页面。
如果收到提示,请选择您的组织。 您只能在组织级层访问 VPC Service Controls 页面。
在 VPC Service Controls 页面上,点击违规情况信息中心。
在违规情况信息中心设置页面上的项目字段中,选择包含您要汇总审核日志的日志存储桶的项目。
对于日志存储桶目标位置,请选择现有日志存储桶或创建新的日志存储桶。
点击创建日志路由器接收器。VPC Service Controls 会在所选项目中创建一个名为
reserved_vpc_sc_dashboard_log_router的新日志路由器接收器。在 Trusted Cloud 控制台中,前往 VPC Service Controls 页面。
如果收到提示,请选择您的组织。 您只能在组织级层访问 VPC Service Controls 页面。
在 VPC Service Controls 页面上,点击违规情况信息中心。系统会显示违规信息中心页面。
过滤:在 过滤条件列表中,选择所需选项以过滤和查看特定数据,例如正文、访问政策、资源。如需将某个表格中的特定值用作过滤条件,请点击该值前面的 Add filter。
时间间隔:如需选择数据的时间范围,请点击其中一个预定义的时间间隔。如需定义自定义时间范围,请点击自定义。
表格和图表:滚动违规情况信息中心页面,查看按不同表格和图表分类的数据。违规信息中心会显示以下表格和图表:
违规
违规次数
违规次数最多的主账号
违规次数最多的主账号 IP
违规次数最多的服务
违规次数最多的方法
违规次数最多的资源
违规次数最多的服务边界
违规次数最多的访问权限政策
排查访问权限遭拒问题:点击违规表格中列出的访问权限遭拒问题的排查令牌,使用违规分析器诊断访问权限遭拒问题。VPC Service Controls 会打开违规分析器,并显示访问遭拒的问题排查结果。
如需了解如何使用违规分析器,请参阅使用 VPC Service Controls 违规分析器诊断访问权限拒绝事件(预览版)。
分页:违规信息中心会对所有表格中显示的数据进行分页。 点击 上一页和 下一页可浏览和查看分页数据。
修改日志路由器接收器:如需修改已配置的日志路由器接收器,请点击修改日志接收器。
如需了解如何修改日志路由器接收器,请参阅管理接收器。
在 Trusted Cloud 控制台中,前往 VPC Service Controls 页面。
如果收到提示,请选择您的组织。
在 VPC Service Controls 页面上,点击保护包含日志存储桶的项目所用的服务边界。
创建入站规则,以便您访问项目中的 Cloud Logging API。
在 Trusted Cloud 控制台中,前往日志路由器页面。
在日志路由器页面上,选择已配置的日志路由器接收器的 菜单,然后选择查看接收器详情。
在接收器详情对话框中,从写入者身份字段复制日志路由器接收器使用的服务账号。
在 Trusted Cloud 控制台中,前往 VPC Service Controls 页面。
如果收到提示,请选择您的组织。
在 VPC Service Controls 页面上,点击保护包含日志存储桶的项目所用的服务边界。
创建一条入站规则,允许日志路由器接收器的服务账号访问项目中的 Cloud Logging API。
VPC Service Controls 不会从其他项目级存储桶回填审核日志:
如果您在设置违规信息中心时创建新的日志存储桶,VPC Service Controls 不会将组织内其他项目的现有日志回填到新创建的日志存储桶中。在 VPC 服务控制功能记录新的违规行为并将这些日志路由到新的日志存储桶之前,信息中心会显示为空。
如果您在设置违规行为信息中心时选择现有日志存储桶,该信息中心会显示所选日志存储桶中所有现有日志的信息。由于 VPC 服务控制功能不会将组织内其他项目的日志回填到所选日志存储桶中,因此该信息中心不会显示这些日志。
- VPC Service Controls 审核日志记录
- 使用 VPC Service Controls 问题排查工具进行问题诊断
- 使用 VPC Service Controls 违规分析器诊断访问权限拒绝事件(预览版)
- 排查 Trusted Cloud by S3NS 服务的常见 VPC Service Controls 问题
所需的角色
设置信息中心
如需设置违规信息中心,您需要配置一个日志存储桶,以汇总 VPC Service Controls 审核日志,并创建一个组织级日志路由器接收器,将所有 VPC Service Controls 审核日志路由到该日志存储桶。
如需为组织设置违规信息中心,请执行以下一次性操作:
此操作大约需要一分钟才能完成。
在信息中心内查看访问拒绝情况
设置违规信息中心后,您可以使用该信息中心查看组织中服务边界拒绝访问的详细信息。
在违规信息中心页面上,您可以执行以下操作:
问题排查
如果您在使用违规信息中心时遇到问题,请尝试按照以下部分所述的方式排查和解决问题。
服务边界拒绝了对您用户账号的访问
如果您因权限不足而遇到错误,请检查组织内的任何服务边界是否拒绝访问 Cloud Logging API。如需解决此问题,请创建允许您访问 Cloud Logging API 的入站规则:
服务边界拒绝了对日志存储桶的访问
如果 VPC Service Controls 未将审核日志路由到配置的日志存储桶,您可能需要创建一项入站流量规则,以允许日志路由器的接收器服务账号访问服务边界中的 Cloud Logging API: