このページでは、VPC Service Controls の違反ダッシュボードを設定して使用し、組織内のサービス境界によるアクセス拒否の詳細を表示する方法について説明します。
費用
VPC Service Controls の違反ダッシュボードを使用する場合は、 Google Cloudの次の課金対象コンポーネントの使用に対して発生する費用を考慮する必要があります。
違反ダッシュボードの設定時に Cloud Logging リソースを組織にデプロイするため、これらのリソースの使用に対して費用が発生します。
違反ダッシュボードに組織レベルのログルーター シンクを使用するため、VPC Service Controls は構成されたログバケット内のすべての監査ログを複製します。ログバケットの使用に対して費用が発生します。ログバケットの使用に対する想定費用を見積もるには、監査ログの量をクエリして計算します。既存のログのクエリの詳細については、ログを表示するをご覧ください。
Cloud Logging と Cloud Monitoring の料金については、Google Cloud Observability の料金をご覧ください。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Service Usage API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Service Usage API.
-
違反ダッシュボードの設定に必要な権限を取得するには、違反ダッシュボードの設定時にログバケットを構成するプロジェクトに対する Logging 管理者(
roles/logging.admin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。この事前定義ロールには、違反ダッシュボードの設定に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
違反ダッシュボードを設定するには、次の権限が必要です。
-
選択したプロジェクトのログバケットを一覧表示する:
logging.buckets.list -
新しいログバケットを作成する:
logging.buckets.create -
選択したログバケットでログ分析を有効にする:
logging.buckets.update -
新しいログルーター シンクを作成する:
logging.sinks.create
-
選択したプロジェクトのログバケットを一覧表示する:
-
違反ダッシュボードの表示に必要な権限を取得するには、違反ダッシュボードの設定時にログバケットを構成するプロジェクトに対する次の IAM ロールを付与するよう、管理者に依頼してください。
-
ログ表示アクセス者(
roles/logging.viewAccessor) -
VPC Service Controls トラブルシューティング閲覧者(
roles/accesscontextmanager.vpcScTroubleshooterViewer)
ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
これらの事前定義ロールには、違反ダッシュボードの表示に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
違反ダッシュボードを表示するには、次の権限が必要です。
-
アクセス ポリシー名を表示する:
accesscontextmanager.policies.list -
プロジェクト名を表示する:
resourcemanager.projects.get
-
ログ表示アクセス者(
Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページには組織レベルでのみアクセスできます。
[VPC Service Controls] ページで、[違反ダッシュボード] をクリックします。
[違反ダッシュボードの設定] ページの [プロジェクト] フィールドで、監査ログを集約するログバケットを含むプロジェクトを選択します。
[ログバケットの宛先] で、[既存のログバケット] または [新しいログバケットを作成] を選択します。
[ログルーター シンクを作成] をクリックします。VPC Service Controls は、選択したプロジェクトに
reserved_vpc_sc_dashboard_log_routerという名前の新しいログルーター シンクを作成します。Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
プロンプトが表示されたら、組織を選択します。[VPC Service Controls] ページには組織レベルでのみアクセスできます。
[VPC Service Controls] ページで、[違反ダッシュボード] をクリックします。[違反ダッシュボード] ページが表示されます。
フィルタリング: [ フィルタ] リストで、必要なオプションを選択して、特定のデータ(プリンシパル、アクセス ポリシー、リソースなど)をフィルタして表示します。いずれかのテーブルの特定の値にフィルタを適用するには、値の前の [フィルタを追加] をクリックします。
期間: データの期間を選択するには、定義済みの期間のいずれかをクリックします。カスタムの期間を定義するには、[カスタム] をクリックします。
表とグラフ: [違反ダッシュボード] ページをスクロールして、さまざまな表とグラフに分類されたデータを表示します。違反ダッシュボードには、次の表とグラフが表示されます。
違反
違反数
プリンシパル別の上位の違反
プリンシパル IP 別の上位の違反
サービス別の上位の違反
メソッド別の上位の違反
リソース別の上位の違反
サービス境界別の上位の違反
アクセス ポリシー別の上位の違反
アクセス拒否のトラブルシューティング: [違反] テーブルに表示されているアクセス拒否のトラブルシューティング トークンをクリックして、違反分析ツールを使用してアクセス拒否を診断します。VPC Service Controls は違反分析ツールを開き、アクセス拒否のトラブルシューティング結果を表示します。
違反分析ツールの使用方法については、VPC Service Controls の違反分析ツールを使用してアクセス拒否イベントを診断する(プレビュー)をご覧ください。
ページ設定: 違反ダッシュボードでは、すべての表に表示されるデータがページ設定されます。(前へ)ボタンと (次へ)ボタンをクリックして、ページ設定されたデータを移動して表示します。
ログルーター シンクを変更する: 構成済みのログルーター シンクを変更するには、[ログシンクを編集] をクリックします。
ログルーターのシンクの変更については、シンクを管理するをご覧ください。
Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
プロンプトが表示されたら、組織を選択します。
[VPC Service Controls] ページで、ログバケットを含むプロジェクトを保護するサービス境界をクリックします。
プロジェクトで Cloud Logging API にアクセスできるようにする上り(内向き)ルールを作成します。
Google Cloud コンソールで、[ログルーター] ページに移動します。
[ログルーター] ページで、構成済みのログルーター シンクの メニューを選択し、[シンクの詳細を表示] を選択します。
[シンクの詳細] ダイアログの [書き込み ID] フィールドから、Log Router シンクが使用するサービス アカウントをコピーします。
Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
プロンプトが表示されたら、組織を選択します。
[VPC Service Controls] ページで、ログバケットを含むプロジェクトを保護するサービス境界をクリックします。
プロジェクト内の Cloud Logging API に Log Router シンクのサービス アカウントがアクセスできるようにする上り(内向き)ルールを作成します。
VPC Service Controls は、他のプロジェクト レベルのバケットから監査ログをバックフィルしません。
違反ダッシュボードの設定中に新しいログバケットを作成した場合、VPC Service Controls は、組織内の他のプロジェクトの既存のログを、新たに作成されたログバケットにバックフィルしません。VPC Service Controls が新しい違反をログに記録し、これらのログを新しいログバケットに転送するまで、ダッシュボードは空白のままになります。
違反ダッシュボードの設定時に既存のログバケットを選択すると、選択したログバケットの既存のすべてのログの情報がダッシュボードに表示されます。VPC Service Controls は、選択したログバケットにこれらのログをバックフィルしないため、ダッシュボードには組織内の他のプロジェクトのログは表示されません。
- VPC Service Controls 監査ロギング
- VPC Service Controls のトラブルシューティングで問題を診断する
- VPC Service Controls 違反アナライザを使用してアクセス拒否イベントを診断する(プレビュー)。
- Google Cloud サービスでの VPC Service Controls の一般的な問題のトラブルシューティングを行う
必要なロール
ダッシュボードを設定する
違反ダッシュボードを設定するには、VPC Service Controls 監査ログを集約するようにログバケットを構成し、すべての VPC Service Controls 監査ログをログバケットにルーティングする、組織レベルのログルーター シンクを作成する必要があります。
組織の違反ダッシュボードを設定するには、次の操作を 1 回行います。
このオペレーションは、完了するまでに 1 分ほどかかります。
ダッシュボードでアクセス拒否を表示する
違反ダッシュボードを設定すると、ダッシュボードを使用して、組織内のサービス境界によるアクセス拒否の詳細を表示できます。
[違反ダッシュボード] ページでは、次の操作を行うことができます。
トラブルシューティング
違反ダッシュボードの使用中に問題が発生した場合は、次のセクションの説明に沿ってトラブルシューティングを行い、問題を解決してください。
サービス境界によってユーザー アカウントへのアクセスが拒否された
権限が不足しているためにエラーが発生した場合は、組織内のサービス境界が Cloud Logging API へのアクセスを拒否していないか確認してください。この問題を解決するには、Cloud Logging API にアクセスできる上り(内向き)ルールを作成します。
サービス境界がログバケットへのアクセスを拒否した
VPC Service Controls が監査ログを構成済みのログバケットに転送しない場合は、Log Router シンクのサービス アカウントがサービス境界内の Cloud Logging API にアクセスできるようにする、上り(内向き)ルールを作成する必要があります。