设置和查看违规信息中心

本页面介绍了如何设置和使用 VPC Service Controls 违规信息中心,以查看组织中服务边界拒绝访问的详细信息。

费用

使用 VPC Service Controls 违规信息中心时,您需要考虑使用 Google Cloud的以下可结算组件所产生的费用:

  • 由于您在设置违规情况信息中心时会在组织中部署 Cloud Logging 资源,因此使用这些资源会产生费用。

  • 由于您为违规信息中心使用了组织级日志路由器接收器,因此 VPC Service Controls 会在配置的日志存储桶中复制所有审核日志。使用日志存储桶会产生费用。如需估算使用日志存储桶的潜在费用,请查询并计算审核日志的量。如需详细了解如何查询现有日志,请参阅查看日志

如需了解 Cloud Logging 和 Cloud Monitoring 价格,请参阅 Google Cloud Observability 价格

准备工作

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Service Usage API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Service Usage API.

    Enable the API

    8.

    所需的角色

    • 如需获得设置违规信息中心所需的权限,请让您的管理员为您授予项目的 Logging Admin (roles/logging.admin) IAM 角色。您可以在设置违规信息中心期间,在该项目中配置日志存储桶。 如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

      此预定义角色包含设置违规信息中心所需的权限。如需查看所需的确切权限,请展开所需权限部分:

      所需权限

      如需设置违规信息中心,您需要具备以下权限:

      • 如需列出所选项目中的日志存储桶,请执行以下操作: logging.buckets.list
      • 如需创建新的日志存储桶,请执行以下操作: logging.buckets.create
      • 如需在所选日志存储桶中启用 Log Analytics,请执行以下操作: logging.buckets.update
      • 如需创建新的日志路由器接收器,请执行以下操作: logging.sinks.create

      您也可以使用自定义角色或其他预定义角色来获取这些权限。

    • 如需获得查看违规情况信息中心所需的权限,请让管理员在您设置违规情况信息中心时配置日志存储桶的项目中为您授予以下 IAM 角色:

      如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

      这些预定义角色包含查看违规情况信息中心所需的权限。如需查看所需的确切权限,请展开所需权限部分:

      所需权限

      您需要具备以下权限才能查看违规信息中心:

      • 如需显示访问权限政策名称,请执行以下操作: accesscontextmanager.policies.list
      • 如需显示项目名称,请执行以下操作: resourcemanager.projects.get

      您也可以使用自定义角色或其他预定义角色来获取这些权限。

    设置信息中心

    如需设置违规信息中心,您需要配置一个日志存储桶,以汇总 VPC Service Controls 审核日志,并创建一个组织级日志路由器接收器,将所有 VPC Service Controls 审核日志路由到该日志存储桶。

    如需为组织设置违规信息中心,请执行以下一次性操作:

    1. 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。

      转到 VPC Service Controls

      如果收到提示,请选择您的组织。 您只能在组织级层访问 VPC Service Controls 页面。

    2. VPC Service Controls 页面上,点击违规情况信息中心

    3. 违规情况信息中心设置页面上的项目字段中,选择包含您要汇总审核日志的日志存储桶的项目。

    4. 对于日志存储桶目标位置,请选择现有日志存储桶创建新的日志存储桶

      • 如果您想使用现有日志存储桶,请在日志存储桶列表中选择所需的日志存储桶。

      • 如果您要创建新的日志存储桶,请在以下字段中输入所需信息:

        1. 名称:日志存储桶的名称。

        2. 说明:日志存储桶的说明。

        3. 区域:您要在其中存储日志的区域。

        4. 保留期限:Cloud Logging 需要保留日志的自定义时长。

        如需详细了解这些字段,请参阅创建存储桶

    5. 点击创建日志路由器接收器。VPC Service Controls 会在所选项目中创建一个名为 reserved_vpc_sc_dashboard_log_router 的新日志路由器接收器。

    此操作大约需要一分钟才能完成。

    在信息中心内查看访问拒绝情况

    设置违规信息中心后,您可以使用该信息中心查看组织中服务边界拒绝访问的详细信息。

    1. 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。

      转到 VPC Service Controls

      如果收到提示,请选择您的组织。 您只能在组织级层访问 VPC Service Controls 页面。

    2. VPC Service Controls 页面上,点击违规情况信息中心。系统会显示违规信息中心页面。

    违规信息中心页面上,您可以执行以下操作:

    • 过滤:在 过滤条件列表中,选择所需选项以过滤和查看特定数据,例如正文、访问政策、资源。如需将某个表格中的特定值用作过滤条件,请点击该值前面的 Add filter

    • 时间间隔:如需选择数据的时间范围,请点击其中一个预定义的时间间隔。如需定义自定义时间范围,请点击自定义

    • 表格和图表:滚动违规情况信息中心页面,查看按不同表格和图表分类的数据。违规信息中心会显示以下表格和图表:

      • 违规

      • 违规次数

      • 违规次数最多的主账号

      • 违规次数最多的主账号 IP

      • 违规次数最多的服务

      • 违规次数最多的方法

      • 违规次数最多的资源

      • 违规次数最多的服务边界

      • 违规次数最多的访问权限政策

    • 排查访问权限遭拒问题:点击违规表格中列出的访问权限遭拒问题的排查令牌,使用违规分析器诊断访问权限遭拒问题。VPC Service Controls 会打开违规分析器,并显示访问遭拒的问题排查结果。

      如需了解如何使用违规分析器,请参阅使用 VPC Service Controls 违规分析器诊断访问权限拒绝事件预览版)。

    • 分页:违规信息中心会对所有表格中显示的数据进行分页。 点击 上一页 下一页可浏览和查看分页数据。

    • 修改日志路由器接收器:如需修改已配置的日志路由器接收器,请点击修改日志接收器

      如需了解如何修改日志路由器接收器,请参阅管理接收器

    问题排查

    如果您在使用违规信息中心时遇到问题,请尝试按照以下部分所述的方式排查和解决问题。

    服务边界拒绝了对您用户账号的访问

    如果您因权限不足而遇到错误,请检查组织内的任何服务边界是否拒绝访问 Cloud Logging API。如需解决此问题,请创建允许您访问 Cloud Logging API 的入站规则:

    1. 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。

      转到 VPC Service Controls

      如果收到提示,请选择您的组织。

    2. VPC Service Controls 页面上,点击保护包含日志存储桶的项目所用的服务边界。

    3. 创建入站规则,以便您访问项目中的 Cloud Logging API。

    服务边界拒绝了对日志存储桶的访问

    如果 VPC Service Controls 未将审核日志路由到配置的日志存储桶,您可能需要创建一项入站流量规则,以允许日志路由器的接收器服务账号访问服务边界中的 Cloud Logging API:

    1. 在 Google Cloud 控制台中,前往日志路由器页面。

      转到日志路由器

    2. 日志路由器页面上,选择已配置的日志路由器接收器的 菜单,然后选择查看接收器详情

    3. 接收器详情对话框中,从写入者身份字段复制日志路由器接收器使用的服务账号。

    4. 在 Google Cloud 控制台中,前往 VPC Service Controls 页面。

      转到 VPC Service Controls

      如果收到提示,请选择您的组织。

    5. VPC Service Controls 页面上,点击保护包含日志存储桶的项目所用的服务边界。

    6. 创建一条入站规则,允许日志路由器接收器的服务账号访问项目中的 Cloud Logging API。

    限制

    • VPC Service Controls 不会从其他项目级存储桶回填审核日志:

      • 如果您在设置违规信息中心时创建新的日志存储桶,VPC Service Controls 不会将组织内其他项目的现有日志回填到新创建的日志存储桶中。在 VPC 服务控制功能记录新的违规行为并将这些日志路由到新的日志存储桶之前,信息中心会显示为空。

      • 如果您在设置违规行为信息中心时选择现有日志存储桶,该信息中心会显示所选日志存储桶中所有现有日志的信息。由于 VPC 服务控制功能不会将组织内其他项目的日志回填到所选日志存储桶中,因此该信息中心不会显示这些日志。

    后续步骤