アクセス拒否を診断して、従来のレポートを表示する

このページでは、VPC Service Controls の違反分析ツールを使用して、VPC Service Controls がログに記録する問題を理解して診断する方法について説明します。

VPC Service Controls のログには、保護されたリソースへのリクエストの詳細と、VPC Service Controls がリクエストを拒否された理由が含まれます。ただし、これらの詳細は容易に把握できるものではなく、ログの理解に多くの時間を費やす可能性があります。VPC Service Controls 違反分析ツールを使用すると、サービス境界から拒否された原因を特定できます。違反の理由については、VPC Service Controls によってブロックされたリクエストのデバッグをご覧ください。

また、違反分析ツールを使用すると、ドライラン構成を使用するサービス境界から拒否された原因を特定することもできます。

さらに、1 つのアクセス拒否を診断し、違反分析ツールでその包括的な評価レポートを表示することもできます。

始める前に

VPC Service Controls の違反のトラブルシューティングを行うには、組織レベルで IAM ロールの VPC Service Controls トラブルシューティング閲覧者(roles/accesscontextmanager.vpcScTroubleshooterViewer)があることを確認します。このロールでは、境界やアクセスレベルを変更することはできません。

アクセス拒否イベントのトラブルシューティング

VPC Service Controls によってアクセス リクエストが拒否されると、一意の ID が生成され、暗号化されたトラブルシューティング トークンが Cloud Audit Logs に記録されます。VPC Service Controls の拒否に関して Google Cloud CLI から返されるエラーには、そのイベントの一意の ID が含まれます。

始める前に、トラブルシューティングの対象となる拒否の一意の ID を取得してください。

違反分析ツールにアクセスする

違反分析ツールは Google Cloud コンソールでのみ使用できます。 ログ エクスプローラまたは VPC Service Controls ページを使用して、違反分析ツールにアクセスできます。

ログ エクスプローラを使用する

ログ エクスプローラを使用すると、VPC Service Controls の拒否に関するログエントリから違反分析ツールに直接移動できます。

ログエントリから違反分析ツールにアクセスする手順は次のとおりです。

  1. Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

  2. [ログ エクスプローラ] ページで、拒否の一意の ID を使用してログエントリにアクセスします。
  3. [クエリ結果] ボックスで、トラブルシューティング対象の拒否の行にある [VPC Service Controls] をクリックし、[拒否のトラブルシューティング] をクリックします。
  4. トラブルシューティングの結果ページで、[従来のビューに切り替える] をクリックします。

VPC Service Controls ページを使用する

[VPC Service Controls] ページから違反分析ツールにアクセスするには、次のようにします。

  1. Google Cloud コンソールのナビゲーション メニューで、[セキュリティ]、[VPC Service Controls] の順にクリックします。

    [VPC Service Controls] に移動

  2. プロンプトが表示されたら、組織を選択します。 [VPC Service Controls] ページには組織レベルでのみアクセスできます。

  3. [VPC Service Controls] ページで、[違反分析ツール] をクリックします。

  4. [違反分析ツール] ページの [トークン(または一意の ID)のトラブルシューティング] フィールドに、トラブルシューティング対象となる拒否の一意の ID を入力します。

  5. [続行] をクリックします。

  6. トラブルシューティングの結果ページで、[従来のビューに切り替える] をクリックします。

元に戻して包括的な評価レポートを表示するには、従来のトラブルシューティング結果ページで [詳細をすべて分析] をクリックします。

次のステップ