Obtén información sobre los pasos para solucionar problemas que pueden ser útiles si tienes los siguientes inconvenientes mientras usas Security Command Center.
No se puede habilitar Security Command Center
La habilitación de Security Command Center suele fallar si las políticas de la organización restringen identidades por dominio. Tú y tu cuenta de servicio deben ser parte de un dominio permitido:
- Asegúrate de acceder a una cuenta que esté en un dominio permitido antes de intentar habilitar Security Command Center.
- Si usas una cuenta de servicio
@*.gserviceaccount.com, agrégala como una identidad en un grupo dentro de un dominio permitido.
No se están actualizando los elementos en Security Command Center
Si usas los Controles del servicio de VPC, los recursos en Security Command Center solo se pueden detectar y actualizar cuando otorgas acceso a la cuenta de servicio de Security Command Center.
Para habilitar la detección de recursos, otorga acceso a la cuenta de servicio de Security Command Center. Esto permite que la cuenta de servicio complete el descubrimiento de recursos y los muestre en la consola de Google Cloud .
El nombre de la cuenta de servicio tiene el formato service-org-organization-id@security-center-api.iam.gserviceaccount.com.
Mira, edita, crea y actualiza hallazgos y recursos
Los roles de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Notificaciones que faltan o se retrasan
En algunas situaciones, es posible que falten notificaciones, se pierdan o se retrasen:
- Es posible que no haya hallazgos que coincidan con los filtros de tu
NotificationConfig. Si deseas probar las notificaciones, usa la API de Security Command Center para crear un hallazgo. - La cuenta de servicio de Security Command Center debe tener el rol
securitycenter.notificationServiceAgenten el tema de Pub/Sub. El nombre de la cuenta de servicio tiene el formatoservice-organization-id@gcp-sa-scc-notification.iam.gserviceaccount.com.- Si quitas el rol, se inhabilitará la publicación de notificaciones.
- Si quitas el rol y vuelves a otorgarlo, se retrasarán las notificaciones.
- Si borras y vuelves a crear el tema de Pub/Sub, se descartarán las notificaciones.
Web Security Scanner
Esta sección contiene pasos para solucionar problemas que pueden resultarte útiles si tienes problemas cuando usas Web Security Scanner
Errores de análisis para Compute Engine y GKE
Si la URL de un análisis está mal configurada, Web Security Scanner la rechaza. Las posibles razones para el rechazo incluyen estas que se describen a continuación:
La URL tiene una dirección IP que es efímera
Marca esta dirección IP como estática:
- Para una aplicación en una sola VM, reserva la dirección IP en la VM.
- Para una aplicación detrás de un balanceador de cargas, reserva la dirección IP en este.
La URL está asignada a una dirección IP incorrecta
Para solucionar este hallazgo, consulta las instrucciones del servicio de registrador de DNS.
La URL está asignada a una dirección IP efímera de la misma VM
Marca esta dirección IP como estática.
La URL está asignada a una dirección IP reservada
Este error ocurre cuando la URL se asigna a una dirección IP que está reservada en un proyecto diferente de la misma organización. Si deseas resolver esto, define los análisis de seguridad para la VM o el balanceador de cargas de HTTP en el proyecto en el que se define.
La URL está asignada a más de una dirección IP.
Asegúrate de que todas las direcciones IP asignadas a esta URL estén reservadas para el mismo proyecto. Si hay al menos una dirección IP que no está reservada para el mismo proyecto, la operación de Crear o editar o Actualizar un análisis falla.
Model Armor
En esta sección, se incluyen pasos para solucionar problemas que pueden resultarte útiles si tienes problemas a la hora de usar Model Armor.
Todas las llamadas a la API de Model Armor devuelven un error 404 No encontrado
Establece una conexión de Private Service Connect a las APIs de Model Armor. Este error suele ocurrir cuando se accede a los extremos regionales (REP) de Model Armor con el Acceso privado a Google o sin un Private Service Connect. Para obtener más información, consulta Información sobre el acceso a extremos regionales con los extremos de Private Service Connect.
El filtro de Sensitive Data Protection muestra un error o se omite
Verifica la siguiente información:
- La plantilla de Sensitive Data Protection se encuentra en la misma región que el extremo de Model Armor al que se llama.
- El agente de servicio que hace la solicitud de Model Armor tiene los roles
dlp.Userydlp.Readeren el proyecto que contiene la plantilla de Sensitive Data Protection.
Este error se produce debido a errores del cliente en las solicitudes SanitizeUserPrompt o SanitizeModelResponse, o bien a problemas con la plantilla de Sensitive Data Protection.
Errores del extremo global de Model Armor
Asegúrate de hacer las solicitudes a la API en el extremo regional adecuado en lugar del extremo global.
Model Armor solo admite las siguientes operaciones en sus extremos regionales:
- Operaciones de creación, lectura, actualización, eliminación y enumeración en plantillas.
- Solicitudes a las APIs de
SanitizeUserPromptySanitizeModelResponse.
Si haces las solicitudes a la API para esas operaciones en el extremo global, verás el siguiente error.
{
"error": {
"code": 403,
"message": "Write access to project '<PROJECT_ID>' was denied",
"status": "PERMISSION_DENIED"
}
}
¿Qué sigue?
Obtén más información sobre los errores de Security Command Center.