Esta página descreve como pode usar o analisador de violações do VPC Service Controls para compreender e diagnosticar problemas registados pelo VPC Service Controls.
Os registos do VPC Service Controls incluem detalhes sobre pedidos a recursos protegidos e o motivo pelo qual o VPC Service Controls negou o pedido. No entanto, estes detalhes nem sempre são óbvios e pode perder muito tempo a compreender os registos. Pode usar o analisador de violações do VPC Service Controls para diagnosticar recusas de um perímetro de serviço. Para informações sobre os motivos da violação, consulte o artigo Depurar pedidos bloqueados pelo VPC Service Controls.
Também pode usar o analisador de violações para diagnosticar recusas de um perímetro de serviço que usa uma configuração de teste.
Também pode diagnosticar uma recusa de acesso e ver o respetivo relatório de avaliação abrangente no analisador de violações.
Antes de começar
Para resolver um problema de violação do VPC Service Controls, certifique-se de que tem a função do IAM de visualizador da resolução de problemas do VPC Service Controls (roles/accesscontextmanager.vpcScTroubleshooterViewer) ao nível da organização. Esta função não
permite modificar perímetros nem níveis de acesso.
Resolva problemas de um evento de negação de acesso
Quando os VPC Service Controls recusam um pedido de acesso, geram um ID exclusivo e registam um token de resolução de problemas encriptado nos registos de auditoria na nuvem. O erro devolvido pela CLI do Google Cloud para uma recusa dos VPC Service Controls inclui o ID exclusivo do evento.
Antes de começar, obtenha o ID exclusivo da recusa para a qual quer resolver problemas.
Aceda ao analisador de violações
O analisador de violações só está disponível na Google Cloud consola. Pode aceder ao analisador de violações através do Explorador de registos ou da página VPC Service Controls.
Use o Explorador de registos
Ao usar o Explorador de registos, pode mover-se diretamente de uma entrada de registo para uma negação dos VPC Service Controls para o analisador de violações.
Para aceder ao analisador de violações a partir de uma entrada de registo, faça o seguinte:
- Na Google Cloud consola, aceda à página Explorador de registos.
- Na página Explorador de registos, use o ID exclusivo da recusa para aceder à entrada do registo.
- Na caixa Resultados da consulta, na linha da recusa para a qual quer resolver problemas, clique em VPC Service Controls e, de seguida, em Resolver problemas de recusa.
- Na página de resultados da resolução de problemas, clique em Mudar para a vista clássica.
Use a página VPC Service Controls
Para aceder à análise de violações a partir da página VPC Service Controls, faça o seguinte:
-
No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, em VPC Service Controls.
Se lhe for pedido, selecione a sua organização. Só pode aceder à página VPC Service Controls ao nível da organização.
Na página VPC Service Controls, clique em Analizador de violações.
Na página Analisador de violações, no campo Token de resolução de problemas (ou ID exclusivo), introduza o ID exclusivo da recusa para a qual quer resolver problemas.
Clique em Continuar.
- Na página de resultados da resolução de problemas, clique em Mudar para a vista clássica.
Se quiser voltar a ver o relatório de avaliação abrangente, clique em Analisar detalhes completos na página de resultados da resolução de problemas clássica.
O que se segue?
- Compreender os registos de auditoria dos VPC Service Controls
- Saiba como o identificador exclusivo dos VPC Service Controls ajuda a resolver problemas relacionados com perímetros de serviço.
- Saiba como diagnosticar uma recusa de acesso no analisador de violações e ver o respetivo relatório de avaliação abrangente.