設定及查看違規資訊主頁

這個頁面說明如何設定 VPC Service Controls 違規資訊主頁，以及用來查看貴組織的 service perimeter 存取遭拒記錄詳細資料。

費用

使用 VPC Service Controls 違規資訊主頁時，您需要考量使用下列 Google Cloud可計費元件所產生的費用：

• 由於您在設定違規資訊主頁時，會在組織中部署 Cloud Logging 資源，因此您需要支付這些資源的使用費。

• 違規資訊主頁使用組織層級的記錄檔路由器接收器，因此 VPC Service Controls 會複製事先設定的記錄檔 bucket 中的所有稽核記錄，故您需要支付這該記錄檔 bucket 的使用費。如要估算使用記錄檔 bucket 的潛在費用，請查詢並計算稽核記錄的數量。想進一步瞭解如何查詢現有記錄，請參閱「查看記錄檔」一節。

如要瞭解 Cloud Logging 和 Cloud Monitoring 的定價，請參閱「Google Cloud Observability 定價」一文。

事前準備

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Service Usage API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Service Usage API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

必要的角色

• 如要取得設定違規情況資訊頁面所需的權限，請要求管理員在設定違規情況資訊頁面時，針對您設定記錄檔 bucket 的專案授予 Logging 管理員 (roles/logging.admin) IAM 角色。想進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」一文。

  這個預先定義的角色具備設定違規資訊主頁所需的權限。如要查看確切的必要權限，請展開「Required permissions」(必要權限) 部分：

  必要權限

  您必須具備下列權限，才能設定違規資訊主頁：

  • 如要列出所選專案中的記錄檔 bucket，請按照以下步驟操作： logging.buckets.list
  • 如要建立新的記錄檔 bucket，請按照以下步驟操作： logging.buckets.create
  • 如要在所選記錄檔 bucket 中啟用記錄檔分析，請按照以下步驟操作： logging.buckets.update
  • 如要建立新的記錄檔路由器接收器，請按照以下步驟操作： logging.sinks.create

  您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

• 如要取得查看違規資訊主頁所需的權限，請要求管理員在您設定違規資訊主頁時，為您設定記錄檔 bucket 的專案授予下列 IAM 角色：

  • 記錄檔檢視存取者 (roles/logging.viewAccessor)
  • VPC Service Controls 疑難排解工具檢視者 (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  想進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」一文。

  這些預先定義的角色具備查看違規資訊主頁所需的權限。如要查看確切的必要權限，請展開「Required permissions」(必要權限) 部分：

  必要權限

  必須具備下列權限，才能查看違規資訊主頁：

  • 顯示存取權政策名稱： accesscontextmanager.policies.list
  • 顯示專案名稱： resourcemanager.projects.get

  您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

設定資訊主頁

如要設定違規資訊主頁，您需要設定記錄檔 bucket，用於彙整 VPC Service Controls 稽核記錄，並建立組織層級的記錄檔路由器接收器，將所有 VPC Service Controls 稽核記錄轉送至記錄檔 bucket。

如要為組織設定違規資訊主頁，請執行下列一次性操作：

1. 前往 Google Cloud 控制台的「VPC Service Controls」頁面。

   前往 VPC Service Controls

   如果系統提示您選取組織，請依提示選取您的組織。您只能在組織層級存取「VPC Service Controls」頁面。

2. 在「VPC Service Controls」頁面中，按一下「Violation dashboard」(違規資訊主頁)。

3. 在「Violation dashboard setup」(違規資訊主頁設定) 頁面的「Project」(專案) 欄位中選取專案，該專案必須包含您要彙整的稽核記錄所屬的記錄檔 bucket。

4. 在「Log bucket destination」(記錄檔 bucket 目的地) 部分，選取「Existing log bucket」(現有記錄檔 bucket) 或「Create new log bucket」(建立新的記錄檔 bucket)。

   • 如要使用現有的記錄檔 bucket，請在「Log bucket」(記錄檔 bucket) 清單中選取所需記錄檔 bucket。

   • 如要建立新的記錄檔 bucket，請在下列欄位中輸入必要資訊：

     1. 名稱：記錄檔 bucket 的名稱。

     2. 說明：記錄檔 bucket 的說明。

     3. 區域：您要儲存記錄檔的區域。

     4. 保留期限：Cloud Logging 必須保留記錄檔的自訂時間長度。

     如要進一步瞭解這些欄位，請參閱「建立 bucket」一節。

5. 按一下「Create log router sink」(建立記錄檔路由器接收器)。VPC Service Controls 會在所選專案中建立名為 reserved_vpc_sc_dashboard_log_router 的新記錄檔路由器接收器。

這項作業大約需要一分鐘才能完成。

在資訊主頁中查看存取遭拒記錄

設定違規資訊主頁後，您可以使用該資訊主頁，查看貴組織 service perimeter 的存取遭拒記錄詳細資料。

1. 前往 Google Cloud 控制台的「VPC Service Controls」頁面。

   前往 VPC Service Controls

   如果系統提示您選取組織，請依提示選取您的組織。您只能在組織層級存取「VPC Service Controls」頁面。

2. 在「VPC Service Controls」頁面中，按一下「Violation dashboard」(違規資訊主頁)。系統隨即會顯示「Violation dashboard」(違規資訊主頁) 頁面。

在「Violation dashboard」(違規資訊主頁) 頁面中，您可以執行下列操作：

• 篩選：在「Filter」(篩選器) filter_list 清單中，選取所需選項來篩選及查看特定資料，例如主體、存取權政策、資源。如要將其中一個表格中的特定值套用為篩選器，請按一下該值前面的「filter_alt Add filter」(新增篩選器)。

• 時間間隔：如要選取資料的日期範圍，請按一下預先定義的時間間隔。如要定義自訂日期範圍，請按一下「Custom」(自訂)。

• 表格和圖表：捲動「Violation dashboard」(違規資訊主頁) 頁面，即可查看歸類到不同表格和圖表的資料。違規資訊主頁會顯示下列表格和圖表：

  • 違規

  • 違規次數

  • 各主體的常見違規情形

  • 各主體 IP 的常見違規情形

  • 各服務的常見違規情形

  • 各方法的常見違規情形

  • 各資源的常見違規情形

  • 各 service perimeter 的常見違規情形

  • 各存取權政策的常見違規情形

• 排解存取遭拒問題：按一下「Violations」(違規) 表格中列出的存取遭拒問題疑難排解權杖，即可使用違規分析工具診斷存取遭拒問題。VPC Service Controls 會開啟違規分析工具，並顯示存取遭拒的疑難排解結果。

  想瞭解如何使用違規分析工具，請參閱「使用違規分析工具中的疑難排解權杖診斷存取遭拒問題」(預先發布版) 一文。

• 分頁：違規資訊主頁會將所有表格中顯示的資料分頁。點按「上一個」圖示 chevron_left和「下一個」圖示 chevron_right，即可瀏覽及查看分頁資料。

• 修改記錄檔路由器接收器：如要修改已設定的記錄檔路由器接收器，請按一下「Edit log sink」(編輯記錄檔接收器)。

  想瞭解如何修改記錄檔路由器接收器，請參閱「管理接收器」一節。

疑難排解

如果您在使用違規資訊主頁時遇到問題，請嘗試按照下列各節的說明來排解問題。

service perimeter 拒絕存取您的使用者帳戶

如果因權限不足而發生錯誤，請檢查貴組織內是否有任何 service perimeter 拒絕存取 Cloud Logging API。如要解決這個問題，請建立允許存取 Cloud Logging API 的輸入規則：

1. 前往 Google Cloud 控制台的「VPC Service Controls」頁面。

   前往 VPC Service Controls

   如果系統提示您選取組織，請依提示選取您的組織。

2. 在「VPC Service Controls」頁面上，按一下保護含有記錄檔 bucket 的專案的 service perimeter。

3. 建立輸入規則，允許您存取專案中的 Cloud Logging API。

service perimeter 拒絕存取記錄檔 bucket

如果 VPC Service Controls 未將稽核記錄轉送至已設定的記錄檔 bucket，您可能需要建立輸入規則，允許記錄檔路由器接收器服務帳戶存取 service perimeter 內的 Cloud Logging API：

1. 前往 Google Cloud 控制台的「Log Router」(記錄檔路由器) 頁面。

   前往 Log Router

2. 在「Log Router」(記錄檔路由器) 頁面中，選取已設定記錄檔路由器接收器的「選單」圖示 more_vert，然後選取「View sink details」(查看接收器詳細資料)。

3. 在「Sink details」(接收器詳細資料) 對話方塊中，從「Writer identity」(寫入者身分) 欄位複製記錄檔路由器接收器使用的服務帳戶。

4. 前往 Google Cloud 控制台的「VPC Service Controls」頁面。

   前往 VPC Service Controls

   如果系統提示您選取組織，請依提示選取您的組織。

5. 在「VPC Service Controls」頁面上，按一下保護含有記錄檔 bucket 的專案的 service perimeter。

6. 建立輸入規則，允許記錄檔路由器接收器的服務帳戶存取專案中的 Cloud Logging API。

限制

• VPC Service Controls 不會從其他專案層級的 bucket 補充稽核記錄：

  • 設定違規資訊主頁時，如果您建立新的記錄檔 bucket，VPC Service Controls 不會將貴組織內其他專案的現有記錄檔補充到新建的記錄檔 bucket。在 VPC Service Controls 將新的違規事項記錄到新的記錄檔 bucket 之前，資訊主頁不會顯示任何資訊。

  • 設定違規資訊主頁時，如果您選取現有的記錄檔 bucket，資訊主頁就會顯示所選記錄檔 bucket 中所有現有記錄檔的資訊。由於 VPC Service Control 不會將這些記錄檔補充到所選記錄檔 bucket，因此資訊主頁不會顯示貴組織內其他專案的記錄檔。

後續步驟

• VPC Service Controls 稽核記錄
• 使用違規分析工具中的專屬 ID 診斷存取遭拒問題
• 使用違規分析工具中的疑難排解權杖，診斷存取遭拒問題 (預先發布版)
• 使用 Google Cloud 服務排解 VPC Service Controls 的常見問題