Definir configurações padrão para organizações e pastas

Neste documento, descrevemos como definir configurações de recursos padrão para o Logging usando a Google Cloud CLI. As configurações padrão de recursos, que podem ser aplicadas a uma organização ou a uma pasta, determinam o seguinte:

  • Se a CMEK é necessária para novos buckets de registros.

  • O local de armazenamento dos buckets de registros _Default e _Required.

  • Se o coletor _Default está ativado ou desativado.

  • O filtro aplicado ao coletor _Default de novos recursos.

Visão geral

O recurso da organização está no nível mais alto da hierarquia de recursos do Google Cloud. O recurso da organização é o pai dos recursos filhos: projetos, pastas, contas de faturamento do Google Cloud e, no que diz respeito ao Logging, buckets.

É possível configurar o Logging para usar as configurações de recursos padrão para uma organização do Google Cloud e para pastas. Quando você cria novos recursos, eles herdam as configurações padrão do pai.

O Cloud Logging é compatível com as seguintes configurações de recursos padrão:

  • Se os novos buckets de registro em um recurso serão criptografados com uma chave gerenciada pelo cliente e, em caso afirmativo, a chave padrão do Cloud KMS a ser usada para criptografia.

    Se você configurar a CMEK para um recurso, também precisará definir o local de armazenamento padrão para novos buckets _Default e _Required criados por recursos filhos.

  • O local de armazenamento dos novos buckets _Default e _Required. Esse local de armazenamento permite controlar onde seus registros são armazenados.

    Se você definir um local de armazenamento padrão para um recurso e não configurar a CMEK para esse recurso, os novos buckets de registro no recurso não exigirão CMEK.

  • Se o coletor de registros _Default está ativado ou desativado para novos projetos no recurso.

  • Os filtros de inclusão ou de exclusão que são aplicados a todos os novos coletores _Default nos recursos filhos.

Exemplos de configuração:

  • Você configura um local de armazenamento padrão para uma organização. Para novos projetos na organização, os buckets _Default e _Required são criados no local especificado.

  • Você configura um local de armazenamento padrão para uma organização e um local de armazenamento padrão para cada pasta nessa organização. Para novos projetos que estão em uma pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da pasta. Para projetos que não estejam em uma pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da organização.

  • Você configura a CMEK para uma organização e, para a pasta chamada Non-CMEK, define apenas o local de armazenamento padrão. Se você criar um projeto que não esteja na pasta chamada Non-CMEK, os buckets _Default e _Required serão criados no mesmo local que a chave do Cloud Key Management Service, e esses buckets de registro serão criptografados por essa chave. No entanto, se você criar um novo projeto na pasta chamada Non-CMEK, os buckets de registro serão criados nos locais especificados pela configuração dessa pasta, e eles não serão criptografados pela CMEK.

  • Você configura um filtro de exclusão que se aplica a novos coletores _Default no nível da organização. O filtro exclui os registros de auditoria de acesso a dados de serem roteados pelo coletor _Default em todos os recursos filhos, o que impede que os registros de auditoria de acesso a dados sejam armazenados no bucket _Default.

Antes de começar

Este documento não contém informações sobre como configurar CMEK como uma configuração de recurso padrão para o Logging. Para informações sobre esse tópico, consulte Configurar CMEK para Logging.

Para começar a definir as configurações de recursos padrão do Logging, faça o seguinte:

  1. Instale a Google Cloud CLI e inicialize-a executando o seguinte comando: 

    gcloud init

  2. Verifique se você tem as seguintes permissões do Cloud Logging para a organização:

    • logging.settings.get
    • logging.settings.update

  3. Entenda os requisitos de formatação do LogBucket, incluindo os locais compatíveis para armazenar seus registros. Para conferir uma lista dos locais de armazenamento compatíveis com buckets de registro, consulte Regionalidade de dados: regiões compatíveis.

  4. Encontre os identificadores da organização ou da pasta em que você quer definir as configurações de recurso padrão:

    • ORGANIZATION_ID é o identificador numérico exclusivo da organização do Google Cloud. Esse valor não será necessário se você quiser definir apenas uma configuração de recurso padrão para uma pasta. Para mais informações sobre como conseguir esse identificador, consulte Como conseguir o ID da organização.
    • FOLDER_ID é o identificador numérico exclusivo da pasta do Google Cloud. Esse valor não será necessário se você quiser definir apenas uma configuração de recurso padrão para uma organização. Para mais informações sobre o uso de pastas, consulte Como criar e gerenciar pastas.
    • LOCATION é o local onde você quer armazenar os dados de registro.

Visualizar configurações de recursos padrão para o Logging

Para ver as configurações de recursos padrão do Logging, incluindo o local de armazenamento padrão, use o comando gcloud logging settings describe:

PASTA 

 gcloud logging settings describe --folder=FOLDER_ID

ORGANIZAÇÃO 

gcloud logging settings describe --organization=ORGANIZATION_ID

O comando anterior retorna informações sobre as configurações de recurso padrão. Por exemplo, a imagem abaixo mostra as configurações de recursos padrão de uma organização específica:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345 ou service-12345@.... Se não for possível usar a Google Cloud CLI, execute o método getSettings da API Cloud Logging.

Definir o local de armazenamento padrão

Os buckets de registros são os contêineres nos projetos, nas contas de faturamento, nas pastas e nas organizações do Google Cloud que armazenam e organizam os dados de registro. Para cada projeto, conta de faturamento, pasta e organização do Google Cloud, o Logging cria automaticamente dois buckets de registro: _Required e _Default, que são armazenados automaticamente em um local global não especificado.

É possível especificar um local de armazenamento para os buckets _Required e _Default contidos em uma organização ou pasta modificando as configurações de recurso padrão do Logging. Para conferir uma lista dos locais de armazenamento compatíveis, consulte Regiões compatíveis.

Depois de configurar o local de armazenamento padrão de uma organização, acontece o seguinte:

  • Os buckets _Required e _Default nessa organização ou pasta mantêm o local de armazenamento atribuído a eles no momento em que foram criados.

  • Para recursos filhos criados na organização ou na pasta após a configuração do local de armazenamento padrão, os buckets _Required e _Default herdam o local de armazenamento padrão.

O local de armazenamento padrão do Cloud Logging se aplica apenas aos buckets de registros _Default e _Required. Ele não se aplica a buckets de registros definidos pelo usuário.

Configurar as políticas da organização

O Logging oferece suporte a políticas da organização que podem restringir o local em que os dados podem ser armazenados. Se essa política existir para sua organização, só será possível criar buckets de registros em locais permitidos por ela.

Quando uma política da organização que especifica uma restrição de local existe, os valores da política para a restrição precisam incluir o local especificado nas configurações de recurso padrão do Logging. Além disso, se você planeja modificar as configurações de recursos padrão, revise e, se necessário, atualize as políticas da organização antes de atualizá-las.

Para visualizar ou atualizar as políticas da organização, faça o seguinte:

  1. No console do Google Cloud, acesse a página Políticas da organização:

    Acesse Políticas da organização

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.

  2. Selecione a organização.

  3. Confira e, se necessário, atualize a restrição com o ID constraints/gcp.resourceLocations. Se essa restrição não estiver configurada, uma atualização não será necessária.

    Para informações sobre como visualizar restrições específicas e como editá-las, consulte Como criar e editar políticas.

Configurar o local de armazenamento padrão para o Logging

Para configurar o local de armazenamento padrão do Cloud Logging, execute o comando gcloud logging settings update e inclua a sinalização --storage-location:

PASTA 

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

ORGANIZAÇÃO 

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Se não for possível usar a Google Cloud CLI, execute o método updateSettings da API Cloud Logging.

Para informações sobre como resolver erros ao atualizar o local de armazenamento padrão, consulte Solução de problemas ao definir o local padrão do recurso.

Configurar o coletor _Default

O Logging fornece um coletor _Default predefinido para cada projeto, conta de faturamento, pasta e recurso da organização do Google Cloud. Todo registro gerado no recurso que corresponde ao filtro de inclusão e que não é excluído é roteado para o bucket predefinido _Default do recurso.

É possível definir as configurações de recursos padrão para o coletor _Default de sua organização e pastas com as seguintes opções:

  • É possível desativar o coletor _Default para todos os recursos filhos.

  • É possível configurar um ou vários filtros de exclusão que se aplicam aos coletores _Default de novos projetos.

Desativar o coletor _Default

É possível desativar a criação de coletores _Default para todos os novos recursos em uma organização ou pasta. Desativar os coletores _Default impede que os registros sejam armazenados no bucket _Default do recurso. Se você parar de armazenar registros no bucket _Default de um recurso, os registros que teriam sido roteados para esse bucket serão excluídos do armazenamento no Logging, a menos que esses registros sejam explicitamente incluídos em outro coletor definido pelo usuário para esse recurso.

Para desativar os coletores _Default de um recurso e qualquer um dos recursos filhos, execute o comando gcloud logging settings update a seguir:

PASTA 

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

ORGANIZAÇÃO 

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

A sinalização disable-default-sink se aplica apenas ao coletor _Default, que roteia registros para o bucket _Default.

É possível reativar os coletores _Default executando o comando gcloud logging settings update a seguir:

PASTA 

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

ORGANIZAÇÃO 

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configurar o filtro padrão de _Default coletores

O coletor _Default predefinido encaminha todos os registros que correspondem aos critérios do coletor para o bucket _Default correspondente. É possível usar filtros de inclusão e filtros de exclusão para configurar quais registros serão incluídos e excluídos dos novos coletores _Default em uma organização ou pasta.

O filtro de inclusão pode ser substituído ou anexado ao filtro de coletor _Default. Além disso, os filtros de exclusão são anexados porque o coletor _Default não tem filtros de exclusão por padrão.

Para especificar um filtro de inclusão ou de exclusão aplicado a todos os coletores _Default de novos recursos em uma organização ou pasta, execute o método updateSettings da API Cloud Logging com o objeto defaultSinkConfig. Só é possível definir o filtro padrão dos coletores _Default usando a API Logging.

É possível executar o método updateSettings usando o widget do APIs Explorer na página de referência do método. O exemplo a seguir ilustra os parâmetros de amostra:

  • nome (URL): organizations/ORGANIZATION_ID/settings
  • updateMask: "default_sink_config"

  • Corpo da solicitação, que contém uma instância de Settings:

    "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

O exemplo anterior faz o seguinte:

  • Substitui o filtro de inclusão do coletor _Default para incluir registros de auditoria de atividades do administrador, que são excluídos por padrão.

  • Anexa um filtro de exclusão que impede que os registros de auditoria de acesso a dados sejam roteados para o bucket _Default.

Resolver problemas de configuração

Para informações sobre solução de problemas, consulte Resolver problemas de CMEK e de configuração padrão.