Diagnosticar una denegación de acceso y ver el informe clásico

En esta página se describe cómo puedes usar el analizador de infracciones de Controles de Servicio de VPC para entender y diagnosticar los problemas que se registran en dicho servicio.

Los registros de Controles de Servicio de VPC incluyen detalles sobre las solicitudes a recursos protegidos y el motivo por el que Controles de Servicio de VPC ha denegado la solicitud. Sin embargo, estos detalles no siempre son evidentes y puede que tengas que dedicar mucho tiempo a entender los registros. Puedes usar el analizador de infracciones de Controles de Servicio de VPC para diagnosticar las denegaciones de un perímetro de servicio. Para obtener información sobre los motivos de las infracciones, consulta el artículo Depurar solicitudes bloqueadas por Controles de Servicio de VPC.

También puedes usar el analizador de infracciones para diagnosticar las denegaciones de un perímetro de servicio que utilice una configuración de prueba.

También puedes diagnosticar una denegación de acceso y ver su informe de evaluación completo en el analizador de infracciones.

Antes de empezar

Para solucionar un problema de infracción de Controles de Servicio de VPC, asegúrate de tener el rol de IAM Lector de la herramienta para solucionar problemas de Controles de Servicio de VPC (roles/accesscontextmanager.vpcScTroubleshooterViewer) a nivel de organización. Este rol no te permite modificar perímetros ni niveles de acceso.

Solucionar problemas de un evento de denegación de acceso

Cuando Controles de Servicio de VPC deniega una solicitud de acceso, genera un ID único y registra un token de solución de problemas cifrado en los registros de auditoría de Cloud. El error devuelto por la CLI de Google Cloud en caso de denegación de Controles de Servicio de VPC incluye el ID único del evento.

Antes de empezar, obtén el ID único del rechazo en el que quieres solucionar problemas.

Acceder al analizador de infracciones

El analizador de infracciones solo está disponible en la Google Cloud consola. Puedes acceder al analizador de infracciones mediante el Explorador de registros o la página Controles de Servicio de VPC.

Usar el explorador de registros

Con el Explorador de registros, puedes pasar directamente de una entrada de registro de una denegación de Controles de Servicio de VPC al analizador de infracciones.

Para acceder al analizador de infracciones desde una entrada de registro, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Explorador de registros.

    Ir a Explorador de registros

  2. En la página Explorador de registros, usa el ID único de la denegación para acceder a la entrada de registro.
  3. En el cuadro Resultados de la consulta, en la fila de la denegación que quieras solucionar, haz clic en Controles de Servicio de VPC y, a continuación, en Solucionar problema de denegación.
  4. En la página de resultados de la solución de problemas, haga clic en Cambiar a vista clásica.

Usar la página Controles de Servicio de VPC

Para acceder al analizador de infracciones desde la página Controles de Servicio de VPC, haz lo siguiente:

  1. En el menú de navegación de la consola, haga clic en Seguridad y, a continuación, en Controles de Servicio de VPC. Google Cloud

    Ir a Controles de Servicio de VPC

  2. Si se te solicita, selecciona tu organización. Solo puedes acceder a la página Controles de Servicio de VPC a nivel de organización.

  3. En la página Controles de Servicio de VPC, haga clic en Analizador de infracciones.

  4. En la página Analizador de infracciones, en el campo Token de solución de problemas (o ID único), introduzca el ID único del rechazo en el que quiere solucionar problemas.

  5. Haz clic en Continuar.

  6. En la página de resultados de la solución de problemas, haga clic en Cambiar a vista clásica.

Si quieres volver a la página del informe de evaluación completo, haz clic en Analizar todos los detalles en la página de resultados de solución de problemas clásica.

Siguientes pasos