Configura le impostazioni predefinite per organizzazioni e cartelle

Questo documento descrive come configurare le impostazioni predefinite delle risorse per Logging utilizzando Google Cloud CLI. Le impostazioni predefinite delle risorse, che possono essere applicate a un'organizzazione o a una cartella, possono determinare quanto segue:

• Indica se è necessaria una CMEK per i nuovi bucket di log.

• La località di archiviazione per i bucket di log _Default e _Required.

• Indica se il sink _Default è attivato o disattivato.

• Il filtro applicato al sink _Default delle nuove risorse.

Panoramica

La risorsa dell'organizzazione si trova al livello più alto della gerarchia delle risorse di Google Cloud. La risorsa dell'organizzazione è la risorsa padre di queste risorse figlio: progetti, cartelle, account di fatturazione Google Cloud e, per quanto riguarda Logging, bucket.

Puoi configurare Logging in modo che utilizzi le impostazioni delle risorse predefinite per un'organizzazione Google Cloud e per le cartelle. Quando crei nuove risorse, queste ereditano le impostazioni predefinite delle risorse dell'elemento padre.

Cloud Logging supporta le seguenti impostazioni predefinite delle risorse:

• Indica se i nuovi bucket di log in una risorsa devono essere criptati con una chiave gestita dal cliente e, in questo caso, la chiave Cloud KMS predefinita da utilizzare per la crittografia.

  Se configuri CMEK per una risorsa, devi anche impostare la località di archiviazione predefinita per i nuovi bucket _Default e _Required creati dalle risorse figlio.

• La località di archiviazione per i nuovi bucket _Default e _Required. Questa posizione di archiviazione ti consente di controllare dove vengono archiviati i log.

  Se imposti una località di archiviazione predefinita per una risorsa e non configuri CMEK per tale risorsa, i nuovi bucket di log nella risorsa non richiedono CMEK.

• Indica se il sink di log _Default è abilitato o disabilitato per i nuovi progetti nella risorsa.

• I filtri di inclusione o di esclusione applicati a tutti i nuovi sink _Default nelle risorse figlio.

Configurazioni di esempio:

• Devi configurare una posizione di archiviazione predefinita per un'organizzazione. Per i nuovi progetti nell'organizzazione, i bucket _Default e _Required vengono creati nella località specificata.

• Puoi configurare una posizione di archiviazione predefinita per un'organizzazione e una località di archiviazione predefinita per ogni cartella nell'organizzazione. Per i nuovi progetti che si trovano in una cartella, i bucket _Default e _Required vengono creati nella località specificata dalle impostazioni della cartella. Per i progetti che non si trovano in una cartella, i bucket _Default e _Required vengono creati nella località specificata dalle impostazioni dell'organizzazione.

• Configuri una CMEK per un'organizzazione e per la cartella denominata Non-CMEK imposti solo la posizione di archiviazione predefinita. Se crei un progetto che non si trova nella cartella denominata Non-CMEK, i bucket _Default e _Required vengono creati nella stessa località della chiave Cloud Key Management Service e questi bucket di log vengono criptati con questa chiave. Tuttavia, se crei un nuovo progetto nella cartella denominata Non-CMEK, i bucket di log vengono creati nelle posizioni specificate dall'impostazione della cartella e i bucket di log non vengono criptati da CMEK.

• Configuri un filtro di esclusione che si applica ai nuovi sink _Default a livello di organizzazione. Il filtro esclude che gli audit log di accesso ai dati vengano indirizzati tramite il sink _Default in tutte le risorse figlio, impedendo così l'archiviazione degli audit log di accesso ai dati nel bucket _Default.

Prima di iniziare

Questo documento non contiene informazioni su come configurare CMEK come impostazione delle risorse predefinita per Logging. Per informazioni su questo argomento, consulta Configurare una CMEK per il logging.

Per iniziare a configurare le impostazioni predefinite delle risorse per Logging, segui questi passaggi:

1. Installa Google Cloud CLI, quindi initialize eseguendo questo comando:

   gcloud init

2. Assicurati di disporre delle seguenti autorizzazioni di Cloud Logging per l'organizzazione:

   • logging.settings.get
   • logging.settings.update

3. Scopri i requisiti di formattazione di LogBucket, incluse le posizioni supportate in cui puoi archiviare i log. Per un elenco delle località di archiviazione supportate per i bucket di log, consulta Regione dei dati: regioni supportate.

4. Trova gli identificatori per l'organizzazione o la cartella per cui vuoi configurare le impostazioni predefinite delle risorse:

   • ORGANIZATION_ID è l'identificatore numerico univoco dell'organizzazione Google Cloud. Non è necessario se prevedi di configurare solo un'impostazione predefinita delle risorse per una cartella. Per informazioni su come ottenere questo identificatore, consulta Recupero dell'ID organizzazione.
   • FOLDER_ID è l'identificatore numerico univoco della cartella Google Cloud. Non è necessario se prevedi di configurare solo un'impostazione predefinita delle risorse per un'organizzazione. Per informazioni sull'utilizzo delle cartelle, vedi Creazione e gestione delle cartelle.
   • LOCATION è la località in cui vuoi archiviare i dati di log.

Visualizza le impostazioni delle risorse predefinite per Logging

Per visualizzare le impostazioni predefinite delle risorse per Logging, inclusa la posizione di archiviazione predefinita, utilizza il comando gcloud logging settings describe:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Il comando precedente restituisce informazioni sulle impostazioni predefinite delle risorse. Ad esempio, quanto segue mostra le impostazioni predefinite delle risorse per una determinata organizzazione:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

Il valore di SERVICE_ACCT_NAME potrebbe avere il formato cmek-12345 o service-12345@.... Se non puoi utilizzare Google Cloud CLI, esegui il metodo API Cloud Logging getSettings.

Impostare la posizione di archiviazione predefinita

I bucket di log sono i container di organizzazioni, cartelle, account di fatturazione e progetti Google Cloud che archiviano e organizzano i dati di log. Per ogni progetto, account di fatturazione, cartella e organizzazione, Logging crea automaticamente due bucket di log: _Required e _Default, che vengono archiviati automaticamente in una località global non specificata.

Puoi specificare una località di archiviazione per i bucket _Required e _Default contenuti in un'organizzazione o una cartella modificando le impostazioni predefinite delle risorse per Logging. Per un elenco delle posizioni di archiviazione supportate, vedi Regioni supportate.

Dopo aver configurato la località di archiviazione predefinita per un'organizzazione, si verifica quanto segue:

• I bucket _Required e _Default esistenti nell'organizzazione o nella cartella mantengono la posizione di archiviazione assegnata loro al momento della creazione.

• Per le risorse figlio create nell'organizzazione o nella cartella dopo aver configurato la posizione di archiviazione predefinita, i relativi bucket _Required e _Default ereditano la posizione di archiviazione predefinita.

La località di archiviazione predefinita per Cloud Logging si applica solo ai bucket di log _Default e _Required. Non si applica ai bucket di log definiti dall'utente.

Configura i criteri dell'organizzazione

Logging supporta i criteri dell'organizzazione che possono limitare le località di archiviazione dei dati. Se un criterio di questo tipo esiste per la tua organizzazione, puoi creare bucket di log solo nelle località consentite dal criterio.

Quando esiste un criterio dell'organizzazione che specifica un vincolo di località, i valori del criterio per il vincolo devono includere la località specificata nelle impostazioni delle risorse predefinite per Logging. Inoltre, se prevedi di modificare le impostazioni predefinite delle risorse, prima di aggiornare quelle predefinite esamina e, se necessario, aggiorna i criteri dell'organizzazione.

Per visualizzare o aggiornare i criteri dell'organizzazione:

1. Nel pannello di navigazione della console Google Cloud, seleziona IAM e amministrazione e poi Criteri dell'organizzazione:

   Vai a Criteri dell'organizzazione

2. Seleziona la tua organizzazione.

3. Visualizza e, se necessario, aggiorna il vincolo con ID constraints/gcp.resourceLocations. Se questo vincolo non è configurato, non è necessario un aggiornamento.

   Per informazioni su come visualizzare vincoli specifici e come modificare questi vincoli, consulta la sezione Creazione e modifica dei criteri.

Configura la località di archiviazione predefinita per Logging

Per configurare la posizione di archiviazione predefinita per Cloud Logging, esegui il comando gcloud logging settings update e includi il flag --storage-location:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Se non puoi utilizzare Google Cloud CLI, esegui il metodo API Cloud Logging updateSettings.

Per informazioni sulla risoluzione degli errori durante l'aggiornamento della località di archiviazione predefinita, consulta Risolvere i problemi relativi all'impostazione della località predefinita delle risorse.

Configura il sink _Default

Logging fornisce un sink _Default predefinito per ciascun progetto, account di fatturazione, cartella e risorsa organizzazione di Google Cloud. Qualsiasi log generato nella risorsa che corrisponde al filtro di inclusione e che non è escluso viene instradato al bucket _Default predefinito della risorsa, con lo stesso nome.

Puoi configurare le impostazioni predefinite delle risorse per il sink _Default per la tua organizzazione e le tue cartelle con le seguenti opzioni:

• Puoi disabilitare il sink _Default per tutte le risorse figlio.

• Puoi configurare uno o più filtri di esclusione che si applicano ai sink _Default dei nuovi progetti.

Disattiva il sink _Default

Puoi disabilitare la creazione dei sink _Default per tutte le nuove risorse in un'organizzazione o in una cartella. La disattivazione dei sink _Default impedisce l'archiviazione dei log nel bucket _Default della risorsa. Se interrompi l'archiviazione dei log nel bucket _Default di una risorsa, i log che sarebbero stati instradati a quel bucket vengono esclusi dall'archiviazione in Logging, a meno che non siano inclusi esplicitamente in un altro sink definito dall'utente per quella risorsa.

Per disabilitare i sink _Default per una risorsa e le relative risorse figlio, esegui questo comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Il flag disable-default-sink si applica solo al sink _Default che indirizza i log al bucket _Default.

Puoi riabilitare i sink _Default eseguendo il seguente comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configura il filtro predefinito di _Default sink

Il sink _Default predefinito instrada tutti i log corrispondenti ai criteri del sink al bucket _Default corrispondente. Puoi utilizzare i filtri di inclusione e i filtri di esclusione per configurare quali log includere ed escludere per i nuovi sink _Default in un'organizzazione o una cartella.

Il filtro di inclusione può sostituire o essere aggiunto al filtro sink _Default e i filtri di esclusione vengono aggiunti poiché il sink _Default non ha filtri di esclusione per impostazione predefinita.

Per specificare un filtro di inclusione o di esclusione da applicare a tutti i sink _Default di nuove risorse in un'organizzazione o una cartella, esegui il metodo API Cloud Logging updateSettings con l'oggetto defaultSinkConfig. Puoi impostare il filtro predefinito dei sink _Default solo utilizzando l'API Logging.

Puoi eseguire il metodo updateSettings utilizzando il widget Explorer API nella pagina di riferimento del metodo. L'esempio seguente illustra i parametri di esempio:

• name (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Corpo della richiesta, che contiene un'istanza di Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

L'esempio precedente esegue quanto segue:

• Sovrascrive il filtro di inclusione del sink _Default in modo da includere gli audit log delle attività di amministrazione, che sono esclusi per impostazione predefinita.

• Aggiunge un filtro di esclusione che impedisce il routing degli audit log di accesso ai dati al bucket _Default.

Risolvere gli errori di configurazione

Per informazioni sulla risoluzione dei problemi, vedi Risolvere gli errori relativi a CMEK e impostazione predefinita.