Menyiapkan dan melihat dasbor pelanggaran

Halaman ini menjelaskan cara menyiapkan dan menggunakan dasbor pelanggaran Kontrol Layanan VPC untuk melihat detail tentang penolakan akses oleh perimeter layanan di organisasi Anda.

Biaya

Saat menggunakan dasbor pelanggaran Kontrol Layanan VPC, Anda harus mempertimbangkan biaya yang Anda keluarkan atas penggunaan komponen Google Cloudyang dapat ditagih berikut:

  • Karena Anda men-deploy resource Cloud Logging di organisasi saat menyiapkan dasbor pelanggaran, Anda akan dikenai biaya atas penggunaan resource ini.

  • Karena Anda menggunakan sink Router Log tingkat organisasi untuk dasbor pelanggaran, Kontrol Layanan VPC menduplikasi semua log audit Anda di bucket log yang dikonfigurasi. Anda akan dikenai biaya atas penggunaan bucket log. Untuk memperkirakan potensi biaya penggunaan bucket log, buat kueri dan hitung volume log audit Anda. Untuk mengetahui informasi selengkapnya tentang cara membuat kueri log yang ada, lihat Melihat log.

Untuk mengetahui informasi tentang harga Cloud Logging dan Cloud Monitoring, lihat Harga Google Cloud Observability.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Service Usage API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Service Usage API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

    Peran yang diperlukan

    • Guna mendapatkan izin yang diperlukan untuk menyiapkan dasbor pelanggaran, minta administrator untuk memberi Anda peran IAM Logging Admin (roles/logging.admin) di project tempat Anda mengonfigurasi bucket log selama penyiapan dasbor pelanggaran. Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

      Peran bawaan ini berisi izin yang diperlukan untuk menyiapkan dasbor pelanggaran. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

      Izin yang diperlukan

      Izin berikut diperlukan untuk menyiapkan dasbor pelanggaran:

      • Untuk mencantumkan bucket log dari project yang dipilih: logging.buckets.list
      • Untuk membuat bucket log baru: logging.buckets.create
      • Untuk mengaktifkan Log Analytics di bucket log yang dipilih: logging.buckets.update
      • Untuk membuat sink Router Log baru: logging.sinks.create

      Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

    • Guna mendapatkan izin yang diperlukan untuk melihat dasbor pelanggaran, minta administrator untuk memberi Anda peran IAM berikut pada project tempat Anda mengonfigurasi bucket log selama penyiapan dasbor pelanggaran:

      Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

      Peran bawaan ini berisi izin yang diperlukan untuk melihat dasbor pelanggaran. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

      Izin yang diperlukan

      Izin berikut diperlukan untuk melihat dasbor pelanggaran:

      • Untuk menampilkan nama kebijakan akses: accesscontextmanager.policies.list
      • Untuk menampilkan nama project: resourcemanager.projects.get

      Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

    Menyiapkan dasbor

    Untuk menyiapkan dasbor pelanggaran, Anda perlu mengonfigurasi bucket log untuk menggabungkan log audit Kontrol Layanan VPC dan membuat sink Log Router tingkat organisasi yang akan merutekan semua log audit Kontrol Layanan VPC ke bucket log.

    Untuk menyiapkan dasbor pelanggaran bagi organisasi Anda, lakukan tindakan berikut satu kali:

    1. Di konsol Google Cloud , buka halaman VPC Service Controls.

      Buka VPC Service Controls

      Jika diminta, pilih organisasi Anda. Anda hanya dapat mengakses halaman VPC Service Controls di tingkat organisasi.

    2. Di halaman VPC Service Controls, klik Violation dashboard.

    3. Di halaman Violation dashboard setup, di kolom Project, pilih project yang berisi bucket log tempat Anda ingin menggabungkan log audit.

    4. Untuk Log bucket destination, pilih Existing log bucket atau Create new log bucket.

      • Jika Anda ingin menggunakan bucket log yang ada, di daftar Log bucket, pilih bucket log yang diperlukan.

      • Jika Anda membuat bucket log baru, masukkan informasi yang diperlukan di kolom berikut:

        1. Name: Nama untuk bucket log Anda.

        2. Description: Deskripsi untuk bucket log Anda.

        3. Region: Region tempat Anda ingin menyimpan log.

        4. Retention period: Durasi kustom yang diperlukan Cloud Logging untuk menyimpan log Anda.

        Untuk mengetahui informasi selengkapnya tentang kolom ini, lihat Membuat bucket.

    5. Klik Create log router sink. Kontrol Layanan VPC membuat sink Router Log baru bernama reserved_vpc_sc_dashboard_log_router di project yang dipilih.

    Operasi ini membutuhkan waktu sekitar satu menit hingga selesai.

    Melihat penolakan akses di dasbor

    Setelah menyiapkan dasbor pelanggaran, Anda dapat menggunakan dasbor tersebut untuk melihat detail tentang penolakan akses oleh perimeter layanan di organisasi Anda.

    1. Di konsol Google Cloud , buka halaman VPC Service Controls.

      Buka VPC Service Controls

      Jika diminta, pilih organisasi Anda. Anda hanya dapat mengakses halaman VPC Service Controls di tingkat organisasi.

    2. Di halaman VPC Service Controls, klik Violation dashboard. Halaman Violation dashboard akan muncul.

    Di halaman Violation dashboard, Anda dapat melakukan operasi berikut:

    • Memfilter: Di daftar Filter, pilih opsi yang diperlukan untuk memfilter dan melihat data tertentu—misalnya, akun utama, kebijakan akses, resource. Untuk menerapkan nilai tertentu dari salah satu tabel sebagai filter, klik Add filter sebelum nilai.

    • Interval waktu: Untuk memilih rentang waktu data, klik salah satu interval waktu yang telah ditentukan sebelumnya. Untuk menentukan rentang waktu kustom, klik Custom.

    • Tabel dan diagram: Scroll halaman Violation dashboard untuk melihat data yang dikategorikan dalam berbagai tabel dan diagram. Dasbor pelanggaran menampilkan tabel dan diagram berikut:

      • Pelanggaran

      • Jumlah pelanggaran

      • Pelanggaran teratas berdasarkan principal

      • Pelanggaran teratas berdasarkan IP utama

      • Pelanggaran teratas berdasarkan layanan

      • Pelanggaran teratas berdasarkan metode

      • Pelanggaran teratas berdasarkan resource

      • Pelanggaran teratas berdasarkan perimeter layanan

      • Pelanggaran teratas berdasarkan kebijakan akses

    • Memecahkan masalah penolakan akses: Klik token pemecahan masalah penolakan akses yang tercantum dalam tabel Violations untuk mendiagnosis penolakan akses menggunakan penganalisis pelanggaran. Kontrol Layanan VPC membuka penganalisis pelanggaran dan menampilkan hasil pemecahan masalah penolakan akses.

      Untuk mengetahui informasi tentang cara menggunakan penganalisis pelanggaran, lihat Mendiagnosis penolakan akses menggunakan token pemecahan masalah di penganalisis pelanggaran (Pratinjau).

    • Penomoran halaman: Dasbor pelanggaran memberi nomor halaman pada data yang ditampilkan di semua tabel. Klik Previous dan Next untuk membuka dan melihat data yang diberi nomor halaman.

    • Mengubah sink Router Log: Untuk mengubah sink Router Log yang dikonfigurasi, klik Edit log sink.

      Untuk mengetahui informasi tentang cara mengubah sink Router Log, lihat Mengelola sink.

    Memecahkan masalah

    Jika Anda mengalami masalah saat menggunakan dasbor pelanggaran, coba pecahkan masalah dan selesaikan masalah tersebut seperti yang dijelaskan di bagian berikut.

    Perimeter layanan menolak akses ke akun pengguna Anda

    Jika Anda mengalami error karena izin yang tidak memadai, periksa apakah ada perimeter layanan dalam organisasi Anda yang menolak akses ke Cloud Logging API. Untuk mengatasi masalah ini, buat aturan ingress yang memungkinkan Anda mengakses Cloud Logging API:

    1. Di konsol Google Cloud , buka halaman VPC Service Controls.

      Buka VPC Service Controls

      Jika diminta, pilih organisasi Anda.

    2. Di halaman VPC Service Controls, klik perimeter layanan yang melindungi project yang berisi bucket log Anda.

    3. Buat aturan ingress yang memungkinkan Anda mengakses Cloud Logging API di project.

    Perimeter layanan menolak akses ke bucket log

    Jika Kontrol Layanan VPC tidak merutekan log audit Anda ke bucket log yang dikonfigurasi, Anda mungkin harus membuat aturan ingress yang mengizinkan akun layanan sink Router Log mengakses Cloud Logging API di perimeter layanan Anda:

    1. Di konsol Google Cloud , buka halaman Log Router.

      Buka Log Router

    2. Di halaman Log Router, pilih Menu untuk sink Router Log yang dikonfigurasi, lalu pilih View sink details.

    3. Dalam dialog Sink details, dari kolom Writer identity, salin akun layanan yang digunakan sink Router Log.

    4. Di konsol Google Cloud , buka halaman VPC Service Controls.

      Buka VPC Service Controls

      Jika diminta, pilih organisasi Anda.

    5. Di halaman VPC Service Controls, klik perimeter layanan yang melindungi project yang berisi bucket log Anda.

    6. Buat aturan ingress yang memungkinkan akun layanan sink Router Log mengakses Cloud Logging API di project.

    Batasan

    • Kontrol Layanan VPC tidak mengisi ulang log audit dari bucket level project lainnya:

      • Jika Anda membuat bucket log baru saat menyiapkan dasbor pelanggaran, Kontrol Layanan VPC tidak mengisi ulang log yang ada dari project lain dalam organisasi Anda ke bucket log yang baru dibuat. Dasbor akan tampak kosong hingga Kontrol Layanan VPC mencatat pelanggaran baru dan merutekan log ini ke bucket log baru.

      • Jika Anda memilih bucket log yang ada saat menyiapkan dasbor pelanggaran, dasbor tersebut akan menampilkan informasi semua log yang ada dari bucket log yang dipilih. Dasbor tidak menampilkan log dari project lain dalam organisasi Anda karena Kontrol Layanan VPC tidak mengisi ulang log ini ke bucket log yang dipilih.

    Langkah berikutnya