このページでは、VPC Service Controls の違反アナライザーを使用して、VPC Service Controls がログに記録する問題を理解して診断する方法について説明します。
VPC Service Controls のログには、保護されたリソースへのリクエストの詳細と、VPC Service Controls がリクエストを拒否された理由が含まれます。ただし、これらの詳細は容易に把握できるものではなく、ログの理解に多くの時間を費やす可能性があります。VPC Service Controls 違反アナライザーを使用すると、サービス境界からの拒否を診断できます。違反の理由については、VPC Service Controls によってブロックされたリクエストのデバッグをご覧ください。
違反アナライザーを使用すると、ドライラン構成を使用するサービス境界からの拒否も診断できます。
始める前に
VPC Service Controls の違反のトラブルシューティングを行うには、組織レベルで IAM ロールの VPC Service Controls トラブルシューティング閲覧者(roles/accesscontextmanager.vpcScTroubleshooterViewer)があることを確認します。このロールでは、境界やアクセスレベルを変更することはできません。
違反分析ツールにアクセスする
違反アナライザーは Google Cloud コンソールでのみ使用できます。ログ エクスプローラまたは VPC Service Controls ページを使用して、違反分析ツールにアクセスできます。
ログ エクスプローラを使用する
ログ エクスプローラを使用すると、VPC Service Controls の拒否のログエントリから違反分析ツールに直接移動できます。
ログエントリから違反アナライザーにアクセスする手順は次のとおりです。
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[ログ エクスプローラ] ページで、拒否の一意の ID を使用してログエントリにアクセスします。
[クエリ結果] ボックスで、トラブルシューティングを行う行で、[VPC Service Controls] をクリックし、[拒否のトラブルシューティング] をクリックします。
VPC Service Controls ページを使用する
[VPC Service Controls] ページで、一意の ID を使用して拒否のトラブルシューティングを行うことができます。
始める前に、トラブルシューティングを行う拒否の一意の ID を取得します。
[VPC Service Controls] ページから違反アナライザーにアクセスするには、次の操作を行います。
Google Cloud コンソールのナビゲーション メニューで [セキュリティ]、[VPC Service Controls] の順にクリックします。
プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページには組織レベルでのみアクセスできます。
[VPC Service Controls] ページで、[違反アナライザー] をクリックします。
[違反アナライザー] ページの [トラブルシューティング トークン(または一意の ID)] フィールドに、トラブルシューティングする拒否の一意の ID を入力します。
[続行] をクリックします。
トラブルシューティング トークンを使用してアクセス拒否イベントを診断する(プレビュー)場合は、トラブルシューティング結果ページで [詳細を分析] をクリックします。
次のステップ
- VPC Service Controls の監査ログについて
- VPC Service Controls の一意の ID がサービス境界に関連する問題のトラブルシューティングにどのように役立つかについて確認する。
- 違反アナライザのトラブルシューティング トークンを使用してアクセス拒否を診断する(プレビュー)。