Cette page explique comment utiliser l'analyseur de cas de non-conformité de VPC Service Controls pour comprendre et diagnostiquer les problèmes enregistrés par les journaux de VPC Service Controls.
Les journaux de VPC Service Controls incluent des détails au sujet des requêtes sur des ressources protégées et la raison pour laquelle VPC Service Controls a refusé la requête. Cependant, ces détails ne sont pas toujours explicites et la compréhension des journaux peut prendre un certain temps. Vous pouvez utiliser l'analyseur de cas de non-conformité de VPC Service Controls pour diagnostiquer les refus d'un périmètre de service. Pour en savoir plus sur les motifs de non-conformité, consultez Requêtes de débogage bloquées par VPC Service Controls.
Vous pouvez également utiliser l'analyseur de cas de non-conformité pour diagnostiquer les refus d'un périmètre de service utilisant une configuration dry run.
Avant de commencer
Pour résoudre une violation liée à VPC Service Controls, assurez-vous de disposer du rôle IAM "Lecteur de l'outil de dépannage de VPC Service Controls" (roles/accesscontextmanager.vpcScTroubleshooterViewer). Ce rôle ne vous permet pas de modifier les périmètres ou les niveaux d'accès.
Accéder à l'outil d'analyse de cas de non-conformité
L'outil d'analyse de cas de non-conformité n'est disponible que dans la console Google Cloud . Vous pouvez accéder à l'analyseur de cas de non-conformité avec l'explorateur de journaux ou de la page VPC Service Controls.
Utiliser l'explorateur de journaux
L'explorateur de journaux vous permet de passer directement d'une entrée de journal pour un refus concernant VPC Service Controls à l'outil d'analyse de cas de non-conformité.
Pour accéder à l'analyseur de cas de non-conformité depuis une entrée de journal, procédez comme suit :
Dans la console Google Cloud , accédez à la page Explorateur de journaux.
Sur la page Explorateur de journaux, utilisez l'ID unique du refus pour accéder à l'entrée de journal.
Dans la zone Résultats de la requête, sur la ligne du refus que vous souhaitez résoudre, cliquez sur VPC Service Controls, puis sur Dépanner le refus.
Utiliser la page "VPC Service Controls"
Sur la page VPC Service Controls, vous pouvez résoudre un problème de refus en utilisant son ID unique.
Avant de commencer, obtenez l'ID unique du refus que vous souhaitez résoudre.
Pour accéder à l'analyseur de cas de non-conformité depuis la page VPC Service Controls, procédez comme suit :
Dans le menu de navigation de la console Google Cloud , cliquez surSécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation. Vous ne pouvez accéder à la page VPC Service Controls qu'au niveau de l'organisation.
Sur la page VPC Service Controls, cliquez sur Analyseur de cas de non-conformité.
Sur la page Analyseur de cas de non-conformité, dans le champ Jeton de dépannage (ou ID unique), saisissez l'ID unique du refus que vous souhaitez résoudre.
Cliquez sur Continuer.
Si vous souhaitez diagnostiquer l'événement de refus d'accès à l'aide de son jeton de dépannage (Aperçu), cliquez sur Analyser tous les détails sur la page des résultats du dépannage.
Étapes suivantes
- Comprendre les journaux d'audit de VPC Service Controls
- Découvrez comment l'identifiant unique VPC Service Controls permet de résoudre les problèmes liés aux périmètres de service.
- Diagnostiquer un refus d'accès à l'aide d'un jeton de dépannage dans l'outil d'analyse de cas de non-conformité (Aperçu)