本頁說明如何設定及使用 VPC Service Controls 違規事項資訊主頁,查看貴機構服務範圍拒絕存取的詳細資料。
費用
使用 VPC Service Controls 違規事項資訊主頁時,您需要考量使用下列 Trusted Cloud可計費元件所產生的費用:
由於您在設定違規事項資訊主頁時,會在機構中部署 Cloud Logging 資源,因此使用這些資源會產生費用。
由於違規資訊主頁使用機構層級的記錄檔路由器接收器,VPC Service Controls 會在設定的記錄 bucket 中複製所有稽核記錄。使用記錄檔值區會產生費用。如要估算使用記錄檔 bucket 的潛在費用,請查詢並計算稽核記錄的數量。如要進一步瞭解如何查詢現有記錄,請參閱「查看記錄」。
如要瞭解 Cloud Logging 和 Cloud Monitoring 的定價,請參閱 Google Cloud Observability 定價。
事前準備
-
In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Service Usage API.
-
如要取得設定違規事項資訊主頁所需的權限,請要求管理員在您設定違規事項資訊主頁時,為您授予專案的記錄管理員 (
roles/logging.admin) IAM 角色,以便設定記錄儲存空間。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。這個預先定義的角色具備設定違規事項資訊主頁所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要設定違規事項資訊主頁,必須具備下列權限:
-
如要列出所選專案中的記錄檔 bucket,請按照以下步驟操作:
logging.buckets.list -
如要建立新的記錄檔值區:
logging.buckets.create -
如要在所選記錄檔值區中啟用記錄檔分析,請按照下列步驟操作:
logging.buckets.update -
如要建立新的記錄路由器接收器,請按照下列步驟操作:
logging.sinks.create
-
如要列出所選專案中的記錄檔 bucket,請按照以下步驟操作:
-
如要取得查看違規事項資訊主頁所需的權限,請要求管理員在您設定違規事項資訊主頁時,為您授予設定記錄檔 bucket 的專案下列 IAM 角色:
-
記錄檔檢視存取者 (
roles/logging.viewAccessor) -
VPC Service Controls 疑難排解工具檢視者 (
roles/accesscontextmanager.vpcScTroubleshooterViewer)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這些預先定義的角色具備查看違規事項資訊主頁所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要查看違規事項資訊主頁,必須具備下列權限:
-
如要顯示存取權政策名稱,請執行下列指令:
accesscontextmanager.policies.list -
如要顯示專案名稱:
resourcemanager.projects.get
-
記錄檔檢視存取者 (
在 Trusted Cloud 控制台中,前往「VPC Service Controls」頁面。
如果系統提示您選取機構,請依提示選取您的機構。您只能在機構層級存取「VPC Service Controls」頁面。
在「VPC Service Controls」頁面中,按一下「違規事項資訊主頁」。
在「違規事項資訊主頁設定」頁面的「專案」欄位中,選取包含要匯總稽核記錄的記錄 bucket 專案。
在「記錄檔值區目的地」中,選取「現有記錄檔值區」或「建立新的記錄檔值區」。
按一下「建立記錄路由器接收器」。虛擬私有雲服務控制項會在所選專案中建立名為
reserved_vpc_sc_dashboard_log_router的新記錄路由器接收器。在 Trusted Cloud 控制台中,前往「VPC Service Controls」頁面。
如果系統提示您選取機構,請依提示選取您的機構。您只能在機構層級存取「VPC Service Controls」頁面。
在「VPC Service Controls」頁面中,按一下「違規事項資訊主頁」。系統隨即會顯示「違規事項資訊主頁」頁面。
篩選:在「篩選器」 清單中選取所需選項,即可篩選及查看特定資料,例如主體、存取權政策、資源。如要將表格中的特定值套用為篩選器,請按一下該值前面的「新增篩選器」。
時間間隔:如要選取資料的時間範圍,請按一下預先定義的時間間隔。如要定義自訂時間範圍,請按一下「自訂」。
表格和圖表:捲動「違規事項資訊主頁」頁面,即可查看不同表格和圖表分類的資料。違規事項資訊主頁會顯示下列表格和圖表:
違規
違規次數
各主體的常見違規情形
各主體 IP 的常見違規情形
各服務的常見違規情形
各方法的常見違規情形
各資源的常見違規情形
各 service perimeter 的常見違規情形
各存取權政策的常見違規情形
排解存取遭拒問題:按一下「違規」表格中列出的存取遭拒問題疑難排解權杖,即可使用違規分析工具診斷存取遭拒問題。VPC Service Controls 會開啟違規分析工具,並顯示存取遭拒的疑難排解結果。
如要瞭解如何使用違規事項分析工具,請參閱「使用 VPC Service Controls 違規事項分析工具診斷存取遭拒事件」(預先發布版)。
分頁:違規事項資訊主頁會將所有表格中顯示的資料分頁。按一下「上一個」和「下一個」,即可瀏覽及查看分頁資料。
修改記錄路由器接收器:如要修改已設定的記錄路由器接收器,請按一下「編輯記錄接收器」。
如要瞭解如何修改記錄檔路由器接收器,請參閱「管理接收器」。
在 Trusted Cloud 控制台中,前往「VPC Service Controls」頁面。
如果系統提示您選取機構,請依提示選取您的機構。
在「VPC Service Controls」頁面上,按一下保護含有記錄檔儲存空間的專案的服務範圍。
建立 Ingress 規則,允許您存取專案中的 Cloud Logging API。
前往 Trusted Cloud 控制台的「記錄檔路由器」頁面。
在「記錄檔路由器」頁面中,選取已設定記錄檔路由器接收器的「選單」圖示 ,然後選取「查看接收器詳細資料」。
在「接收器詳細資料」對話方塊中,從「寫入者身分」欄位複製 Log Router 接收器使用的服務帳戶。
在 Trusted Cloud 控制台中,前往「VPC Service Controls」頁面。
如果系統提示您選取機構,請依提示選取您的機構。
在「VPC Service Controls」頁面上,按一下保護含有記錄檔儲存空間的專案的服務範圍。
建立連入規則,允許記錄檔路由器接收器的服務帳戶存取專案中的 Cloud Logging API。
VPC Service Controls 不會從其他專案層級的 bucket 填回稽核記錄:
如果您在設定違規資訊主頁時建立新的記錄 bucket,VPC Service Controls 不會將機構內其他專案的現有記錄回填至新建立的記錄 bucket。在 VPC Service Controls 將新的違規事項記錄到新的記錄檔儲存空間之前,資訊主頁會顯示空白。
設定違規事項資訊主頁時,如果選取現有的記錄檔 bucket,資訊主頁就會顯示所選記錄檔 bucket 中所有現有記錄的資訊。由於 VPC Service Control 不會將這些記錄回填至所選記錄檔 bucket,因此資訊主頁不會顯示貴機構內其他專案的記錄。
- VPC Service Controls 稽核記錄
- 使用 VPC Service Controls 疑難排解工具診斷問題
- 使用 VPC Service Controls 違規分析工具診斷存取遭拒事件 (預先發布版)
- 使用服務排解常見的 VPC Service Controls 問題 Trusted Cloud by S3NS
必要的角色
設定資訊主頁
如要設定違規事項資訊主頁,您需要設定記錄檔 bucket,用於彙整 VPC Service Controls 稽核記錄,並建立機構層級的記錄檔路由器接收器,將所有 VPC Service Controls 稽核記錄轉送至記錄檔 bucket。
如要為機構設定違規事項資訊主頁,請執行下列一次性操作:
這項作業大約需要一分鐘才能完成。
在資訊主頁中查看存取遭拒記錄
設定違規事項資訊主頁後,您可以使用該資訊主頁,查看貴機構服務邊界拒絕存取的詳細資料。
在「違規事項資訊主頁」頁面中,你可以執行下列操作:
疑難排解
如果使用違規事項資訊主頁時遇到問題,請嘗試按照下列各節的說明排解及解決問題。
服務安全防護範圍拒絕存取您的使用者帳戶
如果因權限不足而發生錯誤,請檢查貴機構內是否有任何服務安全防護範圍拒絕存取 Cloud Logging API。如要解決這個問題,請建立允許存取 Cloud Logging API 的輸入規則:
服務範圍拒絕存取記錄檔值區
如果 VPC Service Controls 未將稽核記錄轉送至已設定的記錄儲存空間,您可能必須建立允許 Log Router 接收器服務帳戶存取服務範圍內 Cloud Logging API 的傳入規則: