En este documento, se describe cómo definir la configuración predeterminada de los recursos para Registro con Google Cloud CLI Configuración de recursos predeterminada, que se puede aplicar a una organización o a una carpeta, pueden determinar lo siguiente:
Si se requiere CMEK para buckets de registros nuevos.
La ubicación de almacenamiento, que determina lo siguiente:
Dónde se almacenan los buckets de registros
_Defaulty_Required.Dónde se realizan las consultas de las páginas Explorador de registros o Análisis de registros las consultas almacenadas, específicamente las recientes y las guardadas por un miembro del proyecto de Google Cloud.
Si el receptor
_Defaultestá habilitado o inhabilitado.El filtro que se aplica al receptor
_Defaultde los recursos nuevos.
Descripción general
El recurso de organización se encuentra en el nivel más alto del Jerarquía de recursos de Google Cloud. El recurso de organización es el superior de estos recursos secundarios: proyectos de Google Cloud, carpetas, cuentas de facturación y Registro, buckets.
Puedes configurar Logging para que use la configuración de recursos predeterminada una organización de Google Cloud y para carpetas. Cuando crees nuevos recursos, estos heredan la configuración de recursos predeterminada de su superior.
Cloud Logging admite la siguiente configuración de recursos predeterminada:
Indica si los buckets de registros nuevos en un recurso se deben encriptar o no una clave administrada por el cliente y, de ser así, la clave de Cloud KMS predeterminada usar para la encriptación.
Si configuras CMEK para un recurso, también debes establecer el ubicación de almacenamiento predeterminada para los buckets nuevos
_Defaulty_Requiredque crean los recursos secundarios.La ubicación de almacenamiento de los nuevos
_Defaulty_Requiredbuckets, y consultas en las páginas Explorador de registros o Análisis de registros. Esta ubicación de almacenamiento te permite controlar dónde se almacenan tus registros.Si estableces una ubicación de almacenamiento predeterminada para un recurso y no la configuras CMEK para ese recurso, los buckets de registros nuevos en el recurso no necesitarán CMEK.
Si el receptor de registros
_Defaultesté habilitada o inhabilitada para proyectos nuevos en el recurso.Los filtros de inclusión o los filtros de exclusión que se aplican a todos los filtros
_Defaultreceptores en los recursos secundarios.
Configuraciones de ejemplo:
Debes configurar una ubicación de almacenamiento predeterminada para una organización. Para nuevos proyectos de la organización, los buckets
_Defaulty_Requiredse crearse en la ubicación especificada.Si configuras una ubicación de almacenamiento predeterminada para una organización, configurar una ubicación de almacenamiento predeterminada para cada carpeta de esa organización. Para los proyectos nuevos que están en una carpeta, los buckets
_Defaulty_Requiredse crearán en la ubicación especificada por la configuración de la carpeta. Para proyectos que no estén en una carpeta, sus buckets_Defaulty_Requiredse crean en la ubicación especificada por la configuración de la organización.Configura una ubicación de almacenamiento predeterminada, en la que todas las consultas Explorador de registros. Esto incluye las consultas recientes que están que se guardan automáticamente luego de ejecutarse, así como con las consultas que guardaron los miembros de la proyecto de Google Cloud.
Configura CMEK para una organización y la carpeta llamada
Non-CMEKsolo debes establecer la ubicación de almacenamiento predeterminada. Si creas un proyecto que no está en la carpeta llamadaNon-CMEK, el Los buckets_Defaulty_Requiredse crean en la misma ubicación que el con la clave de Cloud Key Management Service y estos buckets de registros están encriptados con esa clave. Sin embargo, si creas un proyecto nuevo en la carpeta con el nombreNon-CMEK, sus buckets de registros se crean en las ubicaciones especificadas por la carpeta y esos buckets de registros no están encriptados por CMEK.Configuras un filtro de exclusión que se aplica a los nuevos receptores
_Defaulten un a nivel de la organización. El filtro excluye que los registros de auditoría de acceso a los datos enrutado a través del receptor_Defaulten todos los recursos secundarios, lo que evita que los registros de auditoría de acceso a los datos no se almacenen en el bucket_Default.
Antes de comenzar
Este documento no contiene información para configurar CMEK como un la configuración de recursos predeterminada para Logging. Para obtener información sobre ese tema, consulta Configura CMEK para Logging.
Para comenzar a configurar los recursos predeterminados para Logging, haz lo siguiente:
Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
gcloud init
Asegúrate de tener los siguientes permisos de Cloud Logging para organización:
logging.settings.getlogging.settings.update
Comprende los requisitos de formato de
LogBucket, lo que incluye las ubicaciones admitidas donde puedes almacenar tus registros. Si quieres obtener una lista de las ubicaciones de almacenamiento admitidas para buckets de registros, consulta Regionalidad de los datos: Regiones admitidas.Busca los identificadores de la organización o la carpeta para la que quieres establecer la configuración predeterminada de los recursos:
- ORGANIZATION_ID es el identificador numérico único de las organización de Google Cloud. No necesitas este valor si solo planeas configurar un parámetro de configuración de recursos predeterminado para una carpeta. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de la organización.
- FOLDER_ID es el identificador numérico único de las carpeta de Google Cloud. No necesitas este valor si solo planeas configurar un parámetro de configuración de recursos predeterminado para una organización. Para obtener información sobre el uso de las carpetas, consulta Crea y administra carpetas.
- LOCATION es la ubicación en la que quieres almacenar tu en los datos de registro.
Ver la configuración de recursos predeterminada para Logging
Para ver la configuración de recursos predeterminada de Logging,
incluida la ubicación de almacenamiento predeterminada, usa el
gcloud logging settings describe
:
CARPETA
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZACIÓN
gcloud logging settings describe --organization=ORGANIZATION_ID
El comando anterior muestra información sobre la configuración predeterminada de los recursos. Por ejemplo, a continuación se muestra la configuración de recursos predeterminada para una organización en particular:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
El valor de SERVICE_ACCT_NAME puede tener el formato cmek-12345 o
service-12345@... Si no puedes usar Google Cloud CLI, ejecuta el
Método de la API de Cloud Logging getSettings.
Configura la ubicación de almacenamiento predeterminada
Los buckets de registros son los contenedores
Proyectos de Google Cloud, cuentas de facturación, carpetas y organizaciones que almacenan
y organizar tus datos de registro. Para cada proyecto de Google Cloud, cuenta de facturación,
carpeta y organización, Logging crea automáticamente dos registros
buckets: _Required y _Default, que se almacenan automáticamente en
una ubicación global no especificada.
Puedes especificar una ubicación de almacenamiento para _Required y _Default
que contiene una organización o una carpeta modificando el
la configuración de recursos predeterminada para Logging. Esta ubicación de almacenamiento también
Determina dónde se realizan las consultas en las páginas Explorador de registros y Análisis de registros
se almacenan. Estas consultas incluyen búsquedas recientes que se guardan automáticamente
después de ejecutarse y las consultas guardadas por los miembros del proyecto de Google Cloud.
Para obtener una lista de las ubicaciones de almacenamiento admitidas, consulta Regiones admitidas.
Después de configurar la ubicación de almacenamiento predeterminada para una organización, sucede lo siguiente:
Buckets
_Requiredy_Defaultexistentes en esa organización o carpeta mantener la ubicación de almacenamiento que se les asignó en ese momento en los que se crearon.Para recursos secundarios creados en la organización o la carpeta una vez configurada la ubicación de almacenamiento predeterminada, Los buckets de
_Requiredy_Defaultheredan la ubicación de almacenamiento predeterminada.Las consultas existentes del Explorador de registros o del Análisis de registros mantienen su ubicación de almacenamiento actual.
Consultas nuevas del Explorador de registros o del Análisis de registros que guardas después de la usa la ubicación de almacenamiento predeterminada. Esta ubicación también se aplica a las consultas recientes que se guardan automáticamente.
Se aplica la ubicación de almacenamiento predeterminada para Cloud Logging.
solo a los buckets de registros _Default y _Required, y a las consultas
en las páginas Explorador de registros o Análisis de registros. Estas consultas incluyen
las consultas que se guardan automáticamente después de ser ejecutadas y las que guarda
miembros del proyecto de Google Cloud. No se aplica al registro definido por el usuario
buckets o consultas guardadas con la API de Logging como una ubicación
debe especificarse en la solicitud.
Configura las políticas de la organización
Logging admite políticas de la organización que pueden donde se pueden almacenar los datos. Si dicha política existe para tu organización, solo puedes crear buckets de registros en ubicaciones permitidas por la política.
Cuando existe una política de la organización que especifica una restricción de ubicación, los valores de la política para la restricción deben incluir la ubicación especificada en la configuración de recursos predeterminada para Logging. Además, si planeas modificar la configuración predeterminada de los recursos, antes de actualizar la configuración predeterminada de los recursos, revisar y, de ser necesario, actualizarla las políticas de la organización.
Para ver o actualizar las políticas de la organización, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página Políticas de la organización:
Ir a Políticas de la organización
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.
Selecciona tu organización.
Visualiza y, de ser necesario, actualiza la restricción con el ID.
constraints/gcp.resourceLocations. Si esta restricción no está configurada, no se requerirá una actualización.Para obtener información sobre cómo ver restricciones específicas y cómo editarlas estas restricciones, consulta Crea y edita políticas.
Configura la ubicación de almacenamiento predeterminada para Logging
Para configurar la ubicación de almacenamiento predeterminada de Cloud Logging, ejecuta el comando
gcloud logging settings update
e incluye la marca --storage-location:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Si no puedes usar Google Cloud CLI, ejecuta el
Método de la API de Cloud Logging updateSettings.
Para obtener información sobre cómo resolver errores cuando se actualiza el almacenamiento predeterminado ubicación, consulta Soluciona problemas relacionados con la configuración de la ubicación predeterminada de los recursos.
Configura el receptor _Default
Logging proporciona un rol predefinido
_Default receptor para cada
Proyecto de Google Cloud, cuenta de facturación, carpeta y recurso de organización. Cualquiera
registro generado en el recurso que coincide con el filtro de inclusión y
que no se excluya, se enruta al perfil predefinido del recurso, según
con el nombre _Default.
Puedes definir la configuración de recursos predeterminada para el receptor _Default de tu
organización y carpetas con las siguientes opciones:
Puedes inhabilitar el receptor
_Defaultpara todos los recursos secundarios.Puedes configurar un filtro de inclusión o varios filtros de exclusión que se apliquen a los receptores
_Defaultde los proyectos nuevos.
Inhabilita el receptor _Default
Puedes inhabilitar la creación de receptores _Default para todos los recursos nuevos en
en una organización o carpeta; Inhabilitar los receptores _Default evita
que los registros no se almacenen en el bucket _Default del recurso.
Si dejas de almacenar registros en una
_Default del recurso, los registros que se habrían enrutado a ese
se excluyen del almacenamiento en Logging, a menos que esos
se incluyen explícitamente en otro receptor definido por el usuario para ese recurso.
Para inhabilitar los receptores _Default de un recurso y cualquiera de sus elementos secundarios
recursos, ejecuta el siguiente comando:
gcloud logging settings update
:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
La marca disable-default-sink se aplica solo al receptor _Default que enruta
registros en el bucket _Default.
Para volver a habilitar los receptores de _Default, ejecuta el siguiente comando:
gcloud logging settings update
:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configura el filtro predeterminado de _Default receptor
El receptor _Default predefinido enruta cualquier registro que coincida con los criterios del receptor
al bucket _Default correspondiente. Puedes usar
filtros de inclusión
y filtros de exclusión para configurar
qué registros se incluyen y excluyen para los nuevos receptores _Default de una organización
o carpeta.
El filtro de inclusión puede anular
al filtro de receptor _Default y los filtros de exclusión se agregan
ya que el receptor _Default no tiene filtros de exclusión de forma predeterminada.
Para especificar un filtro de inclusión o un filtro de exclusión que se aplique a todos
_Default receptores de recursos nuevos en una organización o carpeta,
ejecuta el método updateSettings de la API de Cloud Logging con
el objeto defaultSinkConfig. Solo puedes establecer el filtro predeterminado de
Receptores de _Default con la API de Logging.
Puedes ejecutar el método updateSettings con el comando
El widget del Explorador de APIs en la página de referencia del método. El
El siguiente ejemplo ilustra los parámetros de muestra:
- Nombre (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Cuerpo de la solicitud, que contiene una instancia de
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
En el ejemplo anterior, se hace lo siguiente:
Reemplaza el filtro de inclusión del receptor
_Defaultpara incluir Administrador Registros de auditoría de actividad, que se excluyen de forma predeterminada.Agrega un filtro de exclusión que evita que se obtengan los registros de auditoría de acceso a los datos enrutado al bucket
_Default.
Soluciona problemas de errores de configuración
Para obtener información sobre la solución de problemas, consulta Soluciona problemas de CMEK y errores de configuración predeterminada.