本頁面說明如何使用 VPC Service Controls 違規事項分析工具,瞭解並診斷 VPC Service Controls 記錄檔的問題。
VPC Service Controls 記錄會詳細列出對受保護資源提出的要求,以及 VPC Service Controls 拒絕要求的原因。不過,這些詳細資料不一定容易取得,您可能需要花費大量時間解讀記錄。您可以使用 VPC Service Controls 違規事項分析工具,診斷服務範圍的拒絕存取問題。如要瞭解違規原因,請參閱「對 VPC Service Controls 封鎖的要求進行偵錯」。
您也可以使用違規分析工具,診斷使用試執行設定的服務範圍拒絕要求的原因。
事前準備
如要排解 VPC Service Controls 違規問題,請確認您在機構層級具備 VPC Service Controls 疑難排解工具檢視者 IAM 角色 (roles/accesscontextmanager.vpcScTroubleshooterViewer)。這個角色無法修改邊界或存取層級。
存取違規分析工具
違規事項分析工具僅適用於 Google Cloud 控制台。 您可以透過「記錄檢視器」或 VPC Service Controls 頁面存取違規分析工具。
使用記錄檔探索工具
使用記錄檔探索工具時,您可以直接從 VPC Service Controls 拒絕的記錄項目移至違規分析工具。
如要從記錄項目存取違規分析工具,請按照下列步驟操作:
前往 Google Cloud 控制台的「Logs Explorer」頁面。
在「記錄檔探索工具」頁面中,使用拒絕的專屬 ID 存取記錄檔項目。
在「查詢結果」方塊中,找出要排解問題的拒絕要求,然後依序點選「VPC Service Controls」和「排解拒絕要求問題」。
使用 VPC Service Controls 頁面
在「VPC Service Controls」頁面中,您可以使用專屬 ID 排解拒絕存取的問題。
開始前,請取得要排解問題的拒絕專屬 ID。
如要從 VPC Service Controls 頁面存取違規分析工具,請按照下列步驟操作:
在 Google Cloud 控制台導覽選單中,依序點選「Security」(安全性) 和「VPC Service Controls」(VPC 服務控制項)。
如果系統提示您選取機構,請依提示選取您的機構。您只能在機構層級存取「VPC Service Controls」頁面。
在「VPC Service Controls」頁面中,按一下「違規分析工具」。
在「違規事項分析工具」頁面的「疑難排解權杖 (或專屬 ID)」欄位中,輸入要排解問題的拒絕專屬 ID。
按一下「繼續」。
如要使用疑難排解權杖診斷存取遭拒事件 (預覽),請按一下疑難排解結果頁面中的「分析完整詳細資料」。
後續步驟
- 瞭解 VPC Service Controls 稽核記錄
- 瞭解如何使用 VPC Service Controls 專屬 ID 解決服務範圍相關問題。
- 使用違規分析工具中的疑難排解權杖,診斷存取遭拒的問題 (搶先體驗版)。