Standardeinstellungen für Organisationen und Ordner konfigurieren

In diesem Dokument wird beschrieben, wie Sie die Standardressourceneinstellungen für Logging mithilfe der Google Cloud CLI konfigurieren. Standardressourceneinstellungen, die auf eine Organisation oder einen Ordner angewendet werden können, können Folgendes festlegen:

• Gibt an, ob CMEK für neue Log-Buckets erforderlich ist.

• Der Speicherort, mit dem Folgendes festgelegt wird:

  • Wobei _Default und _Required Log-Buckets gespeichert sind.

  • Wenn Abfragen auf den Seiten Log-Explorer oder Loganalysen gespeichert werden, insbesondere aktuelle Abfragen und Abfragen, die von einem Mitglied des Google Cloud-Projekts gespeichert wurden.

• Gibt an, ob die Senke _Default aktiviert oder deaktiviert ist.

• Der Filter, der auf die Senke _Default neuer Ressourcen angewendet wird.

Überblick

Die Organisationsressource befindet sich auf der obersten Ebene der Google Cloud-Ressourcenhierarchie. Die Organisationsressource ist den folgenden untergeordneten Ressourcen übergeordnet: Google Cloud-Projekte, Ordner, Rechnungskonten und in Bezug auf Logging Buckets.

Sie können Logging so konfigurieren, dass Standardressourceneinstellungen für eine Google Cloud-Organisation und für Ordner verwendet werden. Wenn Sie neue Ressourcen erstellen, übernehmen diese die Standardressourceneinstellungen der übergeordneten Ressource.

Cloud Logging unterstützt die folgenden Standardressourceneinstellungen:

• Gibt an, ob neue Log-Buckets in einer Ressource mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden sollen und falls ja, mit dem Cloud KMS-Standardschlüssel für die Verschlüsselung.

  Wenn Sie CMEK für eine Ressource konfigurieren, müssen Sie auch den Standardspeicherort für neue _Default- und _Required-Buckets festlegen, die von untergeordneten Ressourcen erstellt werden.

• Der Speicherort für neue _Default- und _Required-Buckets und Abfragen auf den Seiten Log-Explorer oder Loganalysen. Mit diesem Speicherort können Sie steuern, wo Ihre Logs gespeichert werden.

  Wenn Sie einen Standardspeicherort für eine Ressource festlegen und keinen CMEK für diese Ressource konfigurieren, ist für neue Log-Buckets in der Ressource kein CMEK erforderlich.

• Gibt an, ob die Logsenke _Default für neue Projekte in der Ressource aktiviert oder deaktiviert ist.

• Die Einschluss- oder Ausschlussfilter, die auf alle neuen _Default-Senken in den untergeordneten Ressourcen angewendet werden.

Beispielkonfigurationen:

• Sie konfigurieren einen Standardspeicherort für eine Organisation. Für neue Projekte in der Organisation werden die Buckets _Default und _Required am angegebenen Standort erstellt.

• Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation. Bei neuen Projekten, die sich in einem Ordner befinden, werden die Buckets _Default und _Required an dem in den Ordnereinstellungen angegebenen Speicherort erstellt. Bei Projekten, die sich nicht in einem Ordner befinden, werden die Buckets _Default und _Required an dem Ort erstellt, der in den Einstellungen der Organisation angegeben ist.

• Sie konfigurieren einen Standardspeicherort, an dem alle Abfragen im Log-Explorer gespeichert werden. Dazu gehören aktuelle Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern des Google Cloud-Projekts gespeichert wurden.

• Sie konfigurieren CMEK für eine Organisation und legen für den Ordner Non-CMEK nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen, das sich nicht im Ordner Non-CMEK befindet, werden die Buckets _Default und _Required am selben Speicherort wie der Cloud Key Management Service-Schlüssel erstellt. Diese Log-Buckets werden mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im Ordner Non-CMEK erstellen, werden dessen Log-Buckets an den in der Einstellung des Ordners angegebenen Speicherorten erstellt. Diese Log-Buckets werden nicht durch CMEK verschlüsselt.

• Sie konfigurieren einen Ausschlussfilter, der für neue _Default-Senken auf Organisationsebene gilt. Durch den Filter werden Audit-Logs zum Datenzugriff nicht über die Senke _Default in allen untergeordneten Ressourcen weitergeleitet. Dadurch wird verhindert, dass die Audit-Logs zum Datenzugriff im Bucket _Default gespeichert werden.

Hinweise

Dieses Dokument enthält keine Informationen zum Konfigurieren eines CMEK als Standard-Ressourceneinstellung für Logging. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren.

So konfigurieren Sie die Standardressourceneinstellungen für Logging:

1. Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:

   gcloud init

2. Prüfen Sie, ob Sie die folgenden Cloud Logging-Berechtigungen für die Organisation haben:

   • logging.settings.get
   • logging.settings.update

3. Machen Sie sich mit den Formatierungsanforderungen für LogBucket vertraut, einschließlich der unterstützten Speicherorte, an denen Sie Ihre Logs speichern können. Eine Liste der unterstützten Speicherorte für Log-Buckets finden Sie unter Regionalität von Daten: Unterstützte Regionen.

4. Suchen Sie die IDs für die Organisation oder den Ordner, für den Sie Standardressourceneinstellungen konfigurieren möchten:

   • ORGANIZATION_ID ist die eindeutige numerische Kennzeichnung der Google Cloud-Organisation. Sie benötigen diesen Wert nicht, wenn Sie nur eine Standardressourceneinstellung für einen Ordner konfigurieren möchten. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
   • FOLDER_ID ist die eindeutige numerische Kennzeichnung des Google Cloud-Ordners. Sie benötigen diesen Wert nicht, wenn Sie nur vorhaben, eine Standardeinstellung für Ressourcen für eine Organisation zu konfigurieren. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
   • LOCATION ist der Ort, an dem Sie Ihre Logdaten speichern möchten.

Standardressourceneinstellungen für Logging ansehen

Verwenden Sie den Befehl gcloud logging settings describe, um die Standardressourceneinstellungen für Logging, einschließlich des Standardspeicherorts, für Logging aufzurufen:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Der vorherige Befehl gibt Informationen zu den Standardressourceneinstellungen zurück. Im Folgenden sehen Sie beispielsweise die Standardressourceneinstellungen für eine bestimmte Organisation:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345 oder service-12345@... haben. Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode getSettings aus.

Standardspeicherort festlegen

Log-Buckets sind die Container in Ihren Google Cloud-Projekten, Rechnungskonten, Ordnern und Organisationen, in denen Ihre Logdaten gespeichert und organisiert werden. Für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisation erstellt Logging automatisch zwei Log-Buckets: _Required und _Default. Diese werden automatisch an einem nicht festgelegten Speicherort in global gespeichert.

Sie können einen Speicherort für die Buckets _Required und _Default angeben, die in einer Organisation oder einem Ordner enthalten sind. Dazu ändern Sie die Standardressourceneinstellungen für Logging. Dieser Speicherort bestimmt auch, wo Abfragen auf den Seiten Log-Explorer und Loganalysen gespeichert werden. Dazu gehören aktuelle Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern des Google Cloud-Projekts gespeichert wurden.

Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.

Nachdem Sie den Standardspeicherort für eine Organisation konfiguriert haben, geschieht Folgendes:

• Vorhandene _Required- und _Default-Buckets in dieser Organisation oder diesem Ordner behalten den Speicherort bei, der ihnen bei der Erstellung zugewiesen war.

• Bei untergeordneten Ressourcen, die nach dem Konfigurieren des Standardspeicherorts in der Organisation oder im Ordner erstellt werden, übernehmen die Buckets _Required und _Default den Standardspeicherort.

• Vorhandene Log-Explorer- und Loganalysen-Abfragen behalten ihren aktuellen Speicherort.

• Für neue Abfragen des Log-Explorers oder Loganalysen, die Sie nach der Konfiguration des Standardspeicherorts speichern, wird der Standardspeicherort verwendet. Dieser Speicherort gilt auch für die letzten Suchanfragen, die automatisch gespeichert werden.

Der Standardspeicherort für Cloud Logging gilt nur für die Log-Buckets _Default und _Required sowie für Abfragen auf den Seiten Log-Explorer und Loganalysen. Dazu gehören Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern des Google Cloud-Projekts gespeichert wurden. Sie gilt nicht für benutzerdefinierte Log-Buckets oder für Abfragen, die mit der Logging API gespeichert werden, da in der Anfrage ein Standort angegeben werden muss.

Organisationsrichtlinien konfigurieren

Logging unterstützt Organisationsrichtlinien, die den Speicher von Daten einschränken können. Wenn für Ihre Organisation eine solche Richtlinie vorhanden ist, können Sie Log-Buckets nur an Standorten erstellen, die von der Richtlinie zugelassen sind.

Wenn eine Organisationsrichtlinie mit einer Standortbeschränkung vorhanden ist, müssen die Richtlinienwerte für die Einschränkung den Standort enthalten, der in den Standardressourceneinstellungen für Logging angegeben ist. Wenn Sie Ihre Standardressourceneinstellungen ändern möchten, prüfen und aktualisieren Sie gegebenenfalls die Organisationsrichtlinien, bevor Sie die Standardressourceneinstellungen aktualisieren.

So können Sie Organisationsrichtlinien aufrufen oder aktualisieren:

1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:

   Zu Organisationsrichtlinien

   Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis mit der Zwischenüberschrift IAM und Verwaltung aus.

2. Wählen Sie Ihre Organisation aus.

3. Rufen Sie die Einschränkung auf und aktualisieren Sie sie bei Bedarf mit der ID constraints/gcp.resourceLocations. Wenn diese Einschränkung nicht konfiguriert ist, ist keine Aktualisierung erforderlich.

   Informationen zum Aufrufen bestimmter Einschränkungen und zum Bearbeiten dieser Einschränkungen finden Sie unter Richtlinien erstellen und bearbeiten.

Standardspeicherort für Logging konfigurieren

Führen Sie den Befehl gcloud logging settings update aus und fügen Sie das Flag --storage-location ein, um den Standardspeicherort für Cloud Logging zu konfigurieren:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode updateSettings aus.

Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeicherorts finden Sie unter Fehlerbehebung beim Festlegen des Standardspeicherorts für Ressourcen.

_Default-Senke konfigurieren

Logging stellt für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisationsressource eine vordefinierte _Default-Senke zur Verfügung. Jedes in der Ressource generierte Log, das dem Einschlussfilter entspricht und nicht ausgeschlossen ist, wird an den vordefinierten, entsprechend benannten _Default-Bucket der Ressource weitergeleitet.

Mit den folgenden Optionen können Sie Standardressourceneinstellungen für die Senke _Default für Ihre Organisation und Ordner konfigurieren:

• Sie können die Senke _Default für alle untergeordneten Ressourcen deaktivieren.

• Sie können einen Einschlussfilter oder mehrere Ausschlussfilter konfigurieren, die für die _Default-Senken neuer Projekte gelten.

_Default-Senke deaktivieren

Sie können das Erstellen von _Default-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Durch das Deaktivieren der _Default-Senken wird verhindert, dass Logs im _Default-Bucket der Ressource gespeichert werden. Wenn Sie das Speichern von Logs im Bucket _Default einer Ressource beenden, werden die Logs, die an diesen Bucket weitergeleitet worden wären, vom Speichern in Logging ausgeschlossen, es sei denn, diese Logs sind explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten.

Führen Sie den folgenden Befehl gcloud logging settings update aus, um die _Default-Senken für eine Ressource und eine ihrer untergeordneten Ressourcen zu deaktivieren:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Das Flag disable-default-sink gilt nur für die Senke _Default, die Logs an den Bucket _Default weiterleitet.

Mit dem folgenden Befehl gcloud logging settings update können Sie die _Default-Senken wieder aktivieren:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Standardfilter von _Default Senken konfigurieren

Die vordefinierte _Default-Senke leitet alle Logs, die den Senkenkriterien entsprechen, an den entsprechenden _Default-Bucket weiter. Mit Einschlussfiltern und Ausschlussfiltern können Sie konfigurieren, welche Logs für neue _Default-Senken in einer Organisation oder einem Ordner ein- und ausgeschlossen werden sollen.

Der Einschlussfilter kann den Senkenfilter _Default entweder überschreiben oder an ihn angehängt werden. Die Ausschlussfilter werden angehängt, da die _Default-Senke standardmäßig keine Ausschlussfilter hat.

Führen Sie die Cloud Logging API-Methode updateSettings mit dem defaultSinkConfig-Objekt aus, um einen Einschluss- oder Ausschlussfilter anzugeben, der auf alle _Default-Senken neuer Ressourcen in einer Organisation oder einem Ordner angewendet wird. Sie können den Standardfilter von _Default-Senken nur mit der Logging API festlegen.

Sie können die Methode updateSettings mit dem Widget APIs Explorer auf der Referenzseite der Methode ausführen. Das folgende Beispiel veranschaulicht Beispielparameter:

• Name (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Anfragetext, der eine Instanz von Settings enthält:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Im vorherigen Beispiel geschieht Folgendes:

• Überschreibt den Einschlussfilter der Senke _Default, um Audit-Logs zur Administratoraktivität einzuschließen, die standardmäßig ausgeschlossen sind.

• Fügt einen Ausschlussfilter an, der verhindert, dass Audit-Logs zum Datenzugriff an den Bucket _Default weitergeleitet werden.

Konfigurationsfehler beheben

Informationen zur Fehlerbehebung finden Sie unter Fehler bei CMEK und Standardeinstellungen beheben.