Auf dieser Seite wird beschrieben, wie Sie mit dem VPC Service Controls-Analysetool für Verstöße Probleme in VPC Service Controls-Logs verstehen und diagnostizieren.
VPC Service Controls-Logs enthalten Details zu Anfragen an geschützte Ressourcen und den Grund für die Ablehnung der Anfrage durch VPC Service Controls. Diese Details sind jedoch nicht immer offensichtlich und Sie müssen eventuell viel Zeit aufwenden, um die Logs zu verstehen. Sie können den Analysator für VPC Service Controls-Verstöße verwenden, um zu diagnostizieren, warum ein Dienstperimeter abgelehnt wurde. Informationen zu den Gründen für Verstöße finden Sie unter Fehlerbehebung bei Anfragen, die von VPC Service Controls blockiert wurden.
Sie können den Analysator für Verstöße auch verwenden, um Ablehnungen von einem Dienstperimeter zu diagnostizieren, das eine Probelaufkonfiguration verwendet.
Sie können auch einen Zugriffsverweigerung diagnostizieren und einen umfassenden Bewertungsbericht im Analysetool für Verstöße aufrufen.
Hinweise
Um einen Verstoß gegen VPC Service Controls zu beheben, müssen Sie die IAM-Rolle „VPC Service Controls Troubleshooter Viewer“ (roles/accesscontextmanager.vpcScTroubleshooterViewer) auf Organisationsebene haben. Mit dieser Rolle können Sie Perimeter oder Zugriffsebenen nicht ändern.
Fehlerbehebung bei einem Ereignis mit verweigertem Zugriff
Wenn VPC Service Controls eine Zugriffsanfrage ablehnt, wird eine eindeutige ID generiert und ein verschlüsseltes Fehlerbehebungstoken in Cloud-Audit-Logs protokolliert. Der von der Google Cloud CLI für eine VPC Service Controls-Ablehnung zurückgegebene Fehler enthält die eindeutige ID des Ereignisses.
Rufen Sie die eindeutige ID für die Ablehnung ab, die Sie beheben möchten.
Auf das Analysetool für Verstöße zugreifen
Die Analyse von Richtlinienverstößen ist nur in der Google Cloud Console verfügbar. Sie können über den Log-Explorer oder die Seite „VPC Service Controls“ auf das Analysetool für Verstöße zugreifen.
Log-Explorer verwenden
Mit dem Log-Explorer können Sie direkt von einem Logeintrag für eine Ablehnung von VPC Service Controls zum Analysetool für Verstöße wechseln.
So greifen Sie von einem Logeintrag auf die Analyse von Verstößen zu:
- Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
- Verwenden Sie auf der Seite Log-Explorer die eindeutige ID der Ablehnung, um auf den Logeintrag zuzugreifen.
- Klicken Sie im Feld Abfrageergebnisse in der Zeile für die Ablehnung, die Sie beheben möchten, auf VPC Service Controls und dann auf Ablehnungsfehler beheben.
- Klicken Sie auf der Seite mit den Fehlerbehebungsergebnissen auf Zur klassischen Ansicht wechseln.
Seite „VPC Service Controls“ verwenden
So greifen Sie über die Seite VPC Service Controls auf das Analysetool für Verstöße zu:
-
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden. Sie können auf die Seite VPC Service Controls nur auf Organisationsebene zugreifen.
Klicken Sie auf der Seite VPC Service Controls auf Verstoßanalysetool.
Geben Sie auf der Seite Verstoßanalyse im Feld Token (oder eindeutige ID) für Fehlerbehebung die eindeutige ID der Ablehnung ein, für die Sie eine Fehlerbehebung durchführen möchten.
Klicken Sie auf Weiter.
- Klicken Sie auf der Seite mit den Fehlerbehebungsergebnissen auf Zur klassischen Ansicht wechseln.
Wenn Sie zurückwechseln und den umfassenden Bewertungsbericht aufrufen möchten, klicken Sie auf der klassischen Seite mit den Fehlerbehebungsergebnissen auf Vollständige Details analysieren.
Nächste Schritte
- Informationen zu Audit-Logs von VPC Service Controls
- Eindeutige Kennung von VPC Service Controls zur Fehlerbehebung bei Dienstperimetern
- Informationen zum Diagnostizieren eines Zugriffsverweigerungsfehlers im Tool zur Analyse von Verstößen und zum Aufrufen des zugehörigen umfassenden Bewertungsberichts