Configura le impostazioni predefinite per organizzazioni e cartelle

Questo documento descrive come configurare le impostazioni predefinite per il logging utilizzando Google Cloud CLI. Le impostazioni predefinite, che possono essere applicate a un'organizzazione o a una cartella, possono determinare quanto segue:

• Indica se è richiesta una chiave di crittografia gestita dal cliente (CMEK) per i nuovi bucket di log.

• La posizione di archiviazione per i nuovi _Default e _Required bucket, e per le query eseguite nelle pagine Esplora log o Analisi dei log.

• Indica se il sink _Default è abilitato o disabilitato.

• Il filtro applicato al sink _Default delle nuove risorse.

Panoramica

La risorsa organizzazione si trova al livello più alto della gerarchia delle risorse Google Cloud. La risorsa organizzazione è la principale di queste risorse secondarie: progetti, cartelle, account di fatturazione e, per quanto riguarda il logging, bucket di log di Google Cloud.

Puoi configurare il logging in modo che utilizzi le impostazioni predefinite per un'organizzazione Google Cloud e per le cartelle. Quando crei nuove risorse, queste ereditano le impostazioni predefinite dell'elemento principale.

Cloud Logging supporta le seguenti impostazioni predefinite:

• Indica se i nuovi bucket di log in una risorsa devono essere criptati o meno una chiave gestita dal cliente e, in questo caso, la chiave Cloud KMS predefinita per la crittografia.

• La posizione di archiviazione dei nuovi bucket di log _Default e _Required creati dalle risorse secondarie, e per le query salvate dalle pagine Esplora log o Analisi dei log. Impostando la posizione di archiviazione, puoi controllare dove vengono archiviati i log.

  Se imposti una posizione di archiviazione predefinita per una risorsa e non configuriCMEK per quella risorsa, i nuovi bucket di log nella risorsa non richiedonoCMEK.

• Indica se l'_Default destinazione log è attivata o disattivata per i nuovi progetti nella risorsa.

• I filtri di inclusione o di esclusione applicati a tutti i nuovi _Default si sink nelle risorse figlio.

Configurazioni di esempio:

• Configuri una posizione di archiviazione predefinita per un'organizzazione. Per i nuovi progetti dell'organizzazione, i bucket di log _Default e _Required vengono creati nella posizione specificata. Inoltre, le query salvate dalle pagine Esplora log o Analisi dei log vengono memorizzate nella località specificata. Queste query includono quelle recenti che sono automaticamente dopo l'esecuzione e le query salvate dai membri progetto Google Cloud.

• Configura un percorso di archiviazione predefinito per un'organizzazione e un percorso di archiviazione predefinito per ogni cartella dell'organizzazione. Per i nuovi progetti all'interno di una cartella, i bucket _Default e _Required vengono creati nella posizione specificata dalle impostazioni della cartella. Per i progetti che non si trovano in una cartella, i bucket _Default e _Required vengono creati nella posizione specificata dalle impostazioni dell'organizzazione.

• Configura CMEK per un'organizzazione e per la cartella denominata Non-CMEK imposti solo la posizione di archiviazione predefinita. Se crei un progetto che non si trova nella cartella denominata Non-CMEK, i bucket _Default e _Required vengono creati nella stessa posizione della chiave Cloud Key Management Service e questi bucket dei log vengono criptati da questa chiave. Tuttavia, se crei un nuovo progetto nella cartella denominata Non-CMEK, e i rispettivi bucket di log vengono creati nelle posizioni specificate e i bucket di log non saranno criptati da CMEK.

• Configura un filtro di esclusione che si applica ai nuovi canali _Default a livello di organizzazione. Il filtro impedisce che gli audit log di accesso ai dati vengano indirizzati tramite il sink _Default in tutte le risorse secondarie, impedendo così che vengano archiviati nel bucket _Default.

Prima di iniziare

Questo documento non contiene informazioni su come configurare CMEK come l'impostazione predefinita per Logging. Per informazioni su questo argomento, consulta Configura CMEK per Logging.

Per iniziare a configurare le impostazioni predefinite per la registrazione:

1. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

2. Assicurati che il tuo ruolo Identity and Access Management nell'organizzazione o nella cartella di cui vuoi configurare le impostazioni predefinite includa la seguente autorizzazione Cloud Logging:

   • logging.settings.get
   • logging.settings.update

3. Identifica la località in cui vuoi archiviare i log e le query. Per un elenco delle posizioni di archiviazione supportate, vedi Area geografica dei dati: regioni supportate.

Visualizza le impostazioni predefinite per Logging

Per visualizzare le impostazioni predefinite per Logging, inclusa la posizione di archiviazione predefinita, utilizza gcloud logging settings describe :

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Il comando precedente restituisce informazioni sulle impostazioni predefinite. Ad esempio, quanto segue mostra le impostazioni predefinite per particolare organizzazione:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

Il valore di SERVICE_ACCT_NAME potrebbe avere il formato cmek-12345 o service-12345@.... Se non puoi utilizzare Google Cloud CLI, esegui il metodo getSettings dell'API Cloud Logging.

Impostare la posizione di archiviazione predefinita

I bucket di log sono i contenitori nei progetti, negli account di fatturazione, nelle cartelle e nelle organizzazioni Google Cloud che archiviano e organizzano i dati di log. Per ogni progetto, account di fatturazione, cartella e organizzazione Google Cloud, Logging crea automaticamente due bucket di log: _Required e _Default, che vengono archiviati automaticamente nella posizione global.

Quando imposti la posizione di archiviazione predefinita per un'organizzazione o una cartella, specifichi dove vengono creati i nuovi bucket di log _Required e _Default e dove esegui le query in Esplora log e Analisi dei log vengono memorizzate. L'impostazione della posizione di archiviazione predefinita non influisce sulla posizione dei bucket dei log esistenti. Analogamente, per le query salvate, la posizione di archiviazione non cambia.

Dopo aver configurato la posizione di archiviazione predefinita per un'organizzazione o una cartella, si verifica quanto segue:

• Per le nuove risorse figlio create nell'organizzazione o nella cartella, _Required e _Default bucket ereditano la località di archiviazione predefinita.

• Le nuove query eseguite nelle pagine Esplora log o Analisi dei log vengono salvate nella posizione di archiviazione predefinita. Questa posizione si applica anche alle query recenti salvate automaticamente.

La località di archiviazione predefinita per Cloud Logging non si applica a a bucket di log definiti dall'utente o alle query salvate usando l'API Logging.

Configura i criteri dell'organizzazione

Logging supporta criteri dell'organizzazione che possono limitare le località in cui possono essere archiviati i dati. Se esiste un criterio di questo tipo per la tua organizzazione, puoi creare bucket di log solo nelle posizioni consentite dal criterio.

Quando esiste un criterio dell'organizzazione che specifica un vincolo di località, i valori del criterio per il vincolo devono includere la località specificata le impostazioni predefinite per Logging. Inoltre, se prevedi di modificare le impostazioni predefinite, prima di procedere, controlla e, se necessario, aggiorna i criteri dell'organizzazione.

Per visualizzare o aggiornare i criteri dell'organizzazione:

1. Nella console Google Cloud, vai alla pagina Norme dell'organizzazione:

   Vai a Criteri dell'organizzazione

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.

2. Seleziona la tua organizzazione.

3. Visualizza e, se necessario, aggiorna il vincolo con l'IDconstraints/gcp.resourceLocations. Se questo vincolo non è configurato, non è necessario un aggiornamento.

   Per informazioni su come visualizzare vincoli specifici e su come modificarli, consulta Creare e modificare i criteri.

Configurare la posizione di archiviazione predefinita per Logging

Per configurare la località di archiviazione predefinita per Cloud Logging, esegui gcloud logging settings update e includi il flag --storage-location:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Se non puoi utilizzare Google Cloud CLI, esegui il metodo updateSettings dell'API Cloud Logging.

Per informazioni sulla risoluzione degli errori durante l'aggiornamento della posizione di archiviazione predefinita, consulta Risolvere i problemi di impostazione della posizione della risorsa predefinita.

Configura il sink _Default

Logging fornisce un modello _Default sink per ciascuno Progetto Google Cloud, account di fatturazione, cartella e risorsa dell'organizzazione. Qualsiasi log generato nella risorsa che corrisponde al filtro di inclusione e che non è escluso viene indirizzato al bucket predefinito della risorsa, corrispondente al nome _Default.

Puoi configurare le impostazioni predefinite per il sink _Default per il tuo organizzazione e cartelle con le seguenti opzioni:

• Puoi disattivare la creazione di un'area di destinazione _Default per le nuove risorse secondarie.

• Puoi configurare un filtro di inclusione o più filtri di esclusione da applicare ai canali _Default dei nuovi progetti.

Disattiva il sink _Default

Puoi disattivare gli scoli _Default per tutte le nuove risorse in un'organizzazione o una cartella. La disattivazione degli scoli _Default impedisce la memorizzazione dei log nel bucket _Default della risorsa. Se interrompi l'archiviazione dei log in un il bucket _Default della risorsa, quindi i log che sarebbero stati indirizzati a quel bucket sono esclusi dall'archiviazione in Logging, a meno che tali log vengono incluse in modo esplicito in un altro sink definito dall'utente per quella risorsa.

Per disabilitare i sink _Default per una risorsa e i relativi elementi figlio: di risorse, esegui questo comando gcloud logging settings update :

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Il flag disable-default-sink si applica solo al sink _Default che instrada i log nel bucket _Default.

Puoi riattivare i canali _Default eseguendo il seguente gcloud logging settings update comando:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configurare il filtro predefinito dei sink _Default

L'area di destinazione _Default predefinita inoltra tutte le voci di log che corrispondono ai criteri dell'area di destinazione al bucket _Default corrispondente. Puoi inviare un comando dell'API Cloud Logging per eseguire l'override del filtro di inclusione incorporato nel _Default sink o per aggiungere un filtro. Il filtro di esclusione integrato per il sink _Default è vuoto. Tuttavia, il comando API ti consente anche aggiungi filtri di esclusione.

Per specificare un filtro di inclusione o di esclusione da applicare a tutti i canali _Default di nuove risorse in un'organizzazione o una cartella, esegui il metodo updateSettings dell'API Cloud Logging e specifica l'oggetto defaultSinkConfig.

Puoi eseguire il metodo updateSettings utilizzando il metodo Widget Explorer API nella pagina di riferimento del metodo. L'Esempio seguente illustra i parametri di esempio:

• name (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Corpo della richiesta, che contiene un'istanza di Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Il filtro di inclusione integrato per il sink _Default include il parametro l'istruzione AND NOT LOG_ID("externalaudit.googleapis.com/activity"), che impedisce il routing degli audit log delle attività di amministrazione _Default bucket di log. Nell'esempio precedente, il filtro di inclusione viene modificato in modo che gli audit log delle attività di amministrazione vengano inviati al bucket dei log _Default. L'esempio aggiunge anche un filtro di esclusione che impedisce agli audit log di accesso ai dati indirizzato al bucket _Default.

Risolvere gli errori di configurazione

Per informazioni sulla risoluzione dei problemi, vedi Risolvi gli errori relativi a CMEK e impostazioni predefinite.