Auf dieser Seite wird beschrieben, wie Sie mit dem VPC Service Controls-Fehleranalysetool Probleme in VPC Service Controls-Logs verstehen und diagnostizieren.
VPC Service Controls-Logs enthalten Details zu Anfragen an geschützte Ressourcen und den Grund für die Ablehnung der Anfrage durch VPC Service Controls. Diese Details sind jedoch nicht immer offensichtlich und Sie müssen eventuell viel Zeit aufwenden, um die Logs zu verstehen. Sie können den Analysetool für VPC Service Controls-Verstöße verwenden, um Ablehnungen von einem Dienstperimeter zu diagnostizieren. Informationen zu den Gründen für Verstöße finden Sie unter Fehlerbehebung bei Anfragen, die von VPC Service Controls blockiert wurden.
Sie können den Analysator für Verstöße auch verwenden, um Ablehnungen von einem Dienstperimeter zu diagnostizieren, das eine Probelaufkonfiguration verwendet.
Hinweise
Um einen Verstoß gegen VPC Service Controls zu beheben, müssen Sie die IAM-Rolle „Betrachter von VPC Service Controls-Fehlerbehebung“ (roles/accesscontextmanager.vpcScTroubleshooterViewer) auf Organisationsebene haben. Mit dieser Rolle können Sie Perimeter oder Zugriffsebenen nicht ändern.
Auf das Analysetool für Verstöße zugreifen
Die Analyse von Richtlinienverstößen ist nur in der Google Cloud -Konsole verfügbar. Sie können über den Log-Explorer oder die Seite „VPC Service Controls“ auf die Analyse von Verstößen zugreifen.
Log-Explorer verwenden
Mit dem Log-Explorer können Sie direkt von einem Logeintrag für eine Ablehnung von VPC Service Controls zur Analyse von Verstößen wechseln.
So greifen Sie von einem Logeintrag auf die Analyse von Verstößen zu:
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf:
Verwenden Sie auf der Seite Log-Explorer die eindeutige ID der Ablehnung, um auf den Logeintrag zuzugreifen.
Klicken Sie im Feld Abfrageergebnisse in der Zeile für die Ablehnung, die Sie beheben möchten, auf VPC Service Controls und dann auf Abgelehnte Fehlerbehebung.
Seite „VPC Service Controls“ verwenden
Auf der Seite VPC Service Controls können Sie Ablehnungsfehler über ihre eindeutige ID beheben.
Rufen Sie die eindeutige ID für die Ablehnung ab, die Sie beheben möchten.
So greifen Sie über die Seite VPC Service Controls auf die Analyse von Richtlinienverstößen zu:
Klicken Sie im Navigationsmenü der Google Cloud Console auf Sicherheit und dann auf VPC Service Controls.
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden. Sie können auf die Seite VPC Service Controls nur auf Organisationsebene zugreifen.
Klicken Sie auf der Seite VPC Service Controls auf Analyzer für Verstöße.
Geben Sie auf der Seite Analyzer für Richtlinienverstöße im Feld Token für die Fehlerbehebung (oder eindeutige ID) die eindeutige ID der Ablehnung ein, für die Sie eine Fehlerbehebung durchführen möchten.
Klicken Sie auf Weiter.
Wenn Sie das Ereignis „Zugriff verweigert“ mithilfe des zugehörigen Tokens zur Fehlerbehebung diagnostizieren möchten (Vorschau), klicken Sie auf der Seite mit den Ergebnissen der Fehlerbehebung auf Vollständige Details analysieren.
Nächste Schritte
- Informationen zu Audit-Logs von VPC Service Controls
- Eindeutige Kennung von VPC Service Controls zur Fehlerbehebung bei Dienstperimetern
- Zugriffsverweigerung mit dem Fehlerbehebungstoken in der Analyse von Richtlinienverstößen diagnostizieren (Vorabversion).