コストを最小限に抑える場合は、常にクラウド ストレージが考慮されます。

* ドライ ラン モードを有効にする: まず、VPC Service Controls 境界に対してドライ ラン モードを有効にします。
このモードでは、実際に変更を適用せずにテストできるため、現在の設定が中断されるのを防ぐことができます。
* アクセスレベルの追加：新しいアクセスレベルをドライラン設定に追加します。これにより、新しいアクセスレベルがどのように動作し、既存の設定とどのように連携するかを、実際の影響を与えることなく監視できます。
* 審査プロセス：ログを分析し、ドライランモードでの動作を監視することで、新しいアクセスレベルを慎重に審査します。新しい構成がセキュリティと運用の要件を満たしていることを確認します。
* 境界の更新：新しいアクセスレベルが既存のサービスに支障をきたさず、すべての要件を満たしていることが確認できたら、実際の境界構成を新しいアクセスレベルに更新します。このアプローチにより、変更内容が反映される前にテストできるため、リスクを最小限に抑え、中断を最小限に抑えながらシームレスな更新を実現できます。参考資料：
* Google Cloud - VPC サービス コントロールの構成
* Google Cloud - ドライランモードの使用

https://cloud.google.com/logging/docs/export/troubleshoot
宛先に正しい権限を付与できません:
シンクが正しいサービス アカウント権限で正常に作成された場合でも、バケットの作成時に Cloud Storage バケットのアクセス制御モデルが均一アクセスに設定されていた場合は、このエラー メッセージが表示されます。
既存の Cloud Storage バケットの場合、バケット作成後 90 日間は [権限] タブを使用してアクセス制御モデルを変更できます。新しいバケットの場合は、バケット作成時にきめ細かなアクセス制御モデルを選択してください。詳細については、Cloud Storage バケットの作成をご覧ください。

* 変更された最新のルールに対してファイアウォールルールのログ記録を有効にします。ログエクスプローラを使用して、ルールが正しく動作しているかどうかを分析します。
* Google Cloud Console を通じて、問題の特定のファイアウォール ルールのファイアウォール ルール ロギングを有効にします。
* ログ記録を有効にしたら、ログ エクスプローラーを使用してファイアウォール ログをフィルタリングして確認します。
* ログを分析して、ルールが意図したとおりにトラフィックを許可またはブロックしているかどうかを確認し、誤った構成や問題を特定します。
参考文献:
* ファイアウォールルールのログ
* ログエクスプローラーの使用