本頁面說明如何使用 VPC Service Controls 違規分析工具,瞭解並診斷 VPC Service Controls 記錄的問題。
VPC Service Controls 記錄會詳細記錄對受保護資源的要求,以及 VPC Service Controls 拒絕要求的原因。不過,這些詳細資料不一定容易取得,您可能需要花費大量時間解讀記錄。您可以使用 VPC Service Controls 違規分析工具,診斷 service perimeter 的拒絕存取要求。如要瞭解違規事項原因,請參閱「對 VPC Service Controls 封鎖的要求進行偵錯」。
您也可以使用違規分析工具,診斷使用模擬測試設定的 service perimeter 拒絕存取要求的原因。
事前準備
如要疑難排解 VPC Service Controls 違規事項,請確認您在組織層級具備 VPC Service Controls 疑難排解工具檢視者 IAM 角色 (roles/accesscontextmanager.vpcScTroubleshooterViewer)。這個角色無法修改 perimeter 或存取層級。
存取違規分析工具
違規分析工具僅適用於 Google Cloud 控制台。您可以使用 Logs Explorer 或 VPC Service Controls 頁面存取違規分析工具。
使用 Logs Explorer
使用 Logs Explorer 時,您可以直接從 VPC Service Controls 拒絕的記錄項目移至違規分析工具。
如要從記錄項目存取違規分析工具,請按照下列步驟操作:
前往 Google Cloud 控制台的「Logs Explorer」頁面。
在「Logs Explorer」頁面中,使用拒絕要求的專屬 ID 存取記錄項目。
在「Query Results」(查詢結果) 方塊中,找出要疑難排解問題的拒絕項目列,然後依序按一下「VPC Service Controls」和「Troubleshoot denial」(疑難排解拒絕結果)。
使用 VPC Service Controls 頁面
在「VPC Service Controls」頁面中,您可以使用專屬 ID 疑難排解拒絕問題。
開始前,請取得要疑難排解的拒絕專屬 ID。
如要從「VPC Service Controls」頁面存取違規分析工具,請按照下列步驟操作:
在 Google Cloud 控制台導覽選單中,依序按一下「Security」(安全性) 和「VPC Service Controls」。
如果系統提示您選取組織,請選取您的組織。您只能在組織層級存取「VPC Service Controls」頁面。
在「VPC Service Controls」頁面中,按一下「Violation analyzer」(違規分析工具)。
在「Violation analyzer」(違規分析工具) 頁面的「Troubleshooting token (or unique ID)」(疑難排解權杖 (或專屬 ID)) 欄位中,輸入要疑難排解的拒絕要求專屬 ID。
按一下「Continue」(繼續)。
如要使用疑難排解權杖診斷存取遭拒事件 (預先發布版),請在疑難排解結果頁面中,按一下「Analyze full details」(分析完整詳細資料)。
後續步驟
- 瞭解 VPC Service Controls 稽核記錄
- 瞭解如何使用 VPC Service Controls 專屬 ID 疑難排解 service perimeter 相關問題。
- 使用違規分析工具中的疑難排解權杖,診斷存取遭拒 (預先發布版)。