Cette page explique comment utiliser l'analyseur de violations VPC Service Controls pour comprendre et diagnostiquer les problèmes enregistrés par les journaux de VPC Service Controls.
Les journaux de VPC Service Controls incluent des détails au sujet des requêtes sur des ressources protégées et la raison pour laquelle VPC Service Controls a refusé la requête. Cependant, ces détails ne sont pas toujours explicites et la compréhension des journaux peut prendre un certain temps. Vous pouvez utiliser l'analyseur de violations de VPC Service Controls pour diagnostiquer les refus d'un périmètre de service. Pour en savoir plus sur les motifs de non-respect, consultez Déboguer les requêtes bloquées par VPC Service Controls.
Vous pouvez également utiliser l'analyseur d'infractions pour diagnostiquer les refus d'un périmètre de service utilisant une configuration de simulation.
Avant de commencer
Pour résoudre une violation liée à VPC Service Controls, assurez-vous de disposer du rôle IAM "Lecteur de l'outil de dépannage de VPC Service Controls" (roles/accesscontextmanager.vpcScTroubleshooterViewer) au niveau de l'organisation. Ce rôle ne vous permet pas de modifier les périmètres ni les niveaux d'accès.
Accéder à l'analyseur de cas de non-conformité
L'outil d'analyse des cas de non-respect n'est disponible que dans la console Google Cloud . Vous pouvez accéder à l'analyseur de violations à l'aide de l'explorateur de journaux ou de la page VPC Service Controls.
Utiliser l'explorateur de journaux
L'explorateur de journaux vous permet de passer directement d'une entrée de journal pour un refus concernant VPC Service Controls à l'analyseur de violations.
Pour accéder à l'analyseur de violations à partir d'une entrée de journal, procédez comme suit :
Dans la console Google Cloud , accédez à la page Explorateur de journaux.
Sur la page Explorateur de journaux, utilisez l'ID unique du refus pour accéder à l'entrée de journal.
Dans la zone Résultats de la requête, sur la ligne du refus que vous souhaitez résoudre, cliquez sur VPC Service Controls, puis sur Dépanner le refus.
Utiliser la page "VPC Service Controls"
Sur la page VPC Service Controls, vous pouvez résoudre un problème de refus en utilisant son ID unique.
Avant de commencer, obtenez l'ID unique du refus que vous souhaitez résoudre.
Pour accéder à l'analyseur d'infractions à partir de la page VPC Service Controls, procédez comme suit :
Dans le menu de navigation de la console Google Cloud , cliquez sur Sécurité, puis sur VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation. Vous ne pouvez accéder à la page VPC Service Controls qu'au niveau de l'organisation.
Sur la page VPC Service Controls, cliquez sur Analyseur d'infractions.
Sur la page Analyseur d'infractions, dans le champ Jeton de dépannage (ou ID unique), saisissez l'ID unique du refus que vous souhaitez résoudre.
Cliquez sur Continuer.
Si vous souhaitez diagnostiquer l'événement de refus d'accès à l'aide de son jeton de dépannage (Aperçu), cliquez sur Analyser tous les détails sur la page des résultats du dépannage.
Étapes suivantes
- Comprendre les journaux d'audit de VPC Service Controls
- Découvrez comment l'identifiant unique VPC Service Controls permet de résoudre les problèmes liés aux périmètres de service.
- Diagnostiquer un refus d'accès à l'aide d'un jeton de dépannage dans l'outil d'analyse des cas de non-respect (aperçu)