Configurar y ver el panel de control de infracciones

En esta página se describe cómo configurar y usar el panel de control de infracciones de Controles de Servicio de VPC para ver los detalles sobre las denegaciones de acceso por perímetros de servicio de tu organización.

Coste

Cuando usas el panel de control de infracciones de Controles de Servicio de VPC, debes tener en cuenta el coste que supone usar los siguientes componentes facturables de Google Cloud:

  • Como implementas recursos de Cloud Logging en tu organización al configurar el panel de control de infracciones, incurres en costes por usar estos recursos.

  • Como usas un receptor de Log Router a nivel de organización para el panel de control de infracciones, Controles de Servicio de VPC duplica todos tus registros de auditoría en el bucket de registro configurado. Se te cobrará por usar el segmento de registros. Para estimar el coste potencial de usar el bucket de registro, consulta y calcula el volumen de tus registros de auditoría. Para obtener más información sobre cómo consultar los registros, consulta el artículo Ver registros.

Para obtener información sobre los precios de Cloud Logging y Cloud Monitoring, consulta la página de precios de Google Cloud Observability.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Service Usage API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Service Usage API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

    Roles obligatorios

    • Para obtener los permisos que necesitas para configurar el panel de control de infracciones, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de Logging (roles/logging.admin) en el proyecto en el que configures un segmento de registro durante la configuración del panel de control de infracciones. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

      Este rol predefinido contiene los permisos necesarios para configurar el panel de control de infracciones. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

      Permisos obligatorios

      Para configurar el panel de control de infracciones, se necesitan los siguientes permisos:

      • Para enumerar los segmentos de registro del proyecto seleccionado, haz lo siguiente: logging.buckets.list
      • Para crear un contenedor de registros, sigue estos pasos: logging.buckets.create
      • Para habilitar Analíticas de registros en el contenedor de registros seleccionado, haz lo siguiente: logging.buckets.update
      • Para crear un nuevo receptor de Log Router, sigue estos pasos: logging.sinks.create

      También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

    • Para obtener los permisos que necesitas para ver el panel de control de infracciones, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el proyecto en el que configures un segmento de registro durante la configuración del panel de control de infracciones:

      Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

      Estos roles predefinidos contienen los permisos necesarios para ver el panel de control de infracciones. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

      Permisos obligatorios

      Para ver el panel de control de infracciones, se necesitan los siguientes permisos:

      • Para mostrar los nombres de las políticas de acceso, sigue estos pasos: accesscontextmanager.policies.list
      • Para mostrar los nombres de los proyectos, haz lo siguiente: resourcemanager.projects.get

      También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

    Configurar el panel de control

    Para configurar el panel de control de infracciones, debes configurar un contenedor de registro para agregar los registros de auditoría de Controles de Servicio de VPC y crear un receptor de Log Router a nivel de organización que enrute todos los registros de auditoría de Controles de Servicio de VPC al contenedor de registro.

    Para configurar el panel de control de infracciones de tu organización, haz lo siguiente una vez:

    1. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

      Ir a Controles de Servicio de VPC

      Si se te solicita, selecciona tu organización. Solo puedes acceder a la página Controles de Servicio de VPC a nivel de organización.

    2. En la página Controles de Servicio de VPC, haz clic en Panel de control de infracciones.

    3. En la página Configuración del panel de control de infracciones, en el campo Proyecto, selecciona el proyecto que contiene el contenedor de registros en el que quieres agregar los registros de auditoría.

    4. En Destino del segmento de registro, selecciona Segmento de registro actual o Crear segmento de registro.

      • Si quiere usar un segmento de registro que ya tenga, en la lista Segmento de registro, seleccione el que necesite.

      • Si creas un contenedor de registro, introduce la información necesaria en los siguientes campos:

        1. Nombre: el nombre del segmento de registro.

        2. Descripción: descripción del segmento de registro.

        3. Región: la región en la que quieras almacenar los registros.

        4. Periodo de conservación: duración personalizada durante la que Cloud Logging debe conservar tus registros.

        Para obtener más información sobre estos campos, consulta Crear un segmento.

    5. Haz clic en Crear sumidero de enrutador de registros. Controles del servicio de VPC crea un nuevo receptor de Log Router llamado reserved_vpc_sc_dashboard_log_router en el proyecto seleccionado.

    Esta operación tarda aproximadamente un minuto en completarse.

    Ver denegaciones de acceso en el panel de control

    Una vez que hayas configurado el panel de control de infracciones, podrás usarlo para ver los detalles sobre las denegaciones de acceso por perímetros de servicio de tu organización.

    1. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

      Ir a Controles de Servicio de VPC

      Si se te solicita, selecciona tu organización. Solo puedes acceder a la página Controles de Servicio de VPC a nivel de organización.

    2. En la página Controles de Servicio de VPC, haz clic en Panel de control de infracciones. Aparecerá la página Panel de control de infracciones.

    En la página Panel de control de infracciones, puedes hacer lo siguiente:

    • Filtrado: en la lista Filtrar, seleccione las opciones que quiera para filtrar y ver datos específicos (por ejemplo, principal, política de acceso o recurso). Para aplicar un valor específico de una de las tablas como filtro, haga clic en Añadir filtro antes del valor.

    • Intervalos de tiempo: para seleccionar el periodo de los datos, haga clic en uno de los intervalos de tiempo predefinidos. Para definir un periodo personalizado, haga clic en Personalizado.

    • Tablas y gráficos: desplácese por la página Panel de control de infracciones para ver los datos clasificados en diferentes tablas y gráficos. En el panel de control de infracciones se muestran las siguientes tablas y gráficos:

      • Infracciones

      • Número de infracciones

      • Principales infracciones por principal

      • Principales infracciones por IP principal

      • Principales infracciones por servicio

      • Principales infracciones por método

      • Principales infracciones por recurso

      • Principales infracciones por perímetro de servicio

      • Principales infracciones por política de acceso

    • Solucionar problemas de denegación de acceso: haga clic en el token de solución de problemas de una denegación de acceso que aparezca en la tabla Infracciones para diagnosticar la denegación de acceso con el analizador de infracciones. Controles de Servicio de VPC abre el analizador de infracciones y muestra el resultado de la solución de problemas del acceso denegado.

      Para obtener información sobre cómo usar el analizador de infracciones, consulta Diagnosticar un evento de denegación de acceso con el analizador de infracciones de Controles de Servicio de VPC (versión preliminar).

    • Paginación: el panel de control de infracciones pagina los datos que se muestran en todas las tablas. Haz clic en Anterior y Siguiente para desplazarte y ver los datos paginados.

    • Modificar el sumidero del enrutador de registros: para modificar el sumidero del enrutador de registros configurado, haz clic en Editar sumidero de registros.

      Para obtener información sobre cómo modificar un receptor de Log Router, consulta Gestionar receptores.

    Solucionar problemas

    Si tienes problemas al usar el panel de control de infracciones, prueba a solucionarlos como se describe en las secciones siguientes.

    Un perímetro de servicio ha denegado el acceso a tu cuenta de usuario

    Si se produce un error debido a que no tienes permisos suficientes, comprueba si algún perímetro de servicio de tu organización está denegando el acceso a la API Cloud Logging. Para solucionar este problema, crea una regla de entrada que te permita acceder a la API Cloud Logging:

    1. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

      Ir a Controles de Servicio de VPC

      Si se te solicita, selecciona tu organización.

    2. En la página Controles de Servicio de VPC, haz clic en el perímetro de servicio que protege el proyecto que contiene tu bucket de registro.

    3. Crea una regla de entrada que te permita acceder a la API de Cloud Logging en el proyecto.

    Un perímetro de servicio ha denegado el acceso al segmento de registro

    Si Controles de Servicio de VPC no enruta tus registros de auditoría al bucket de registro configurado, es posible que tengas que crear una regla de entrada que permita que la cuenta de servicio del receptor de Log Router acceda a la API Cloud Logging en tu perímetro de servicio:

    1. En la Google Cloud consola, ve a la página Enrutador de registros.

      Ir al enrutador de registros

    2. En la página Log Router (Enrutador de registros), seleccione el menú del receptor de Log Router configurado y, a continuación, Ver detalles del receptor.

    3. En el cuadro de diálogo Detalles del sumidero, copie la cuenta de servicio que usa el sumidero de Log Router del campo Identidad de escritura.

    4. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

      Ir a Controles de Servicio de VPC

      Si se te solicita, selecciona tu organización.

    5. En la página Controles de Servicio de VPC, haz clic en el perímetro de servicio que protege el proyecto que contiene tu bucket de registro.

    6. Crea una regla de entrada que permita que la cuenta de servicio del receptor del enrutador de registros acceda a la API de Cloud Logging en el proyecto.

    Limitaciones

    • Controles de Servicio de VPC no rellena los registros de auditoría de otros segmentos a nivel de proyecto:

      • Si creas un segmento de registros al configurar el panel de control de infracciones, Controles de Servicio de VPC no rellenará los registros de otros proyectos de tu organización en el segmento de registros recién creado. El panel de control aparece vacío hasta que Controles de Servicio de VPC registra nuevas infracciones y las envía al nuevo bucket de registro.

      • Si seleccionas un contenedor de registro al configurar el panel de control de infracciones, este mostrará la información de todos los registros del contenedor seleccionado. El panel de control no muestra los registros de otros proyectos de tu organización porque Controles de Servicio de VPC no rellena estos registros en el segmento de registros seleccionado.

    Siguientes pasos