Mengonfigurasi setelan default untuk organisasi dan folder

Dokumen ini menjelaskan cara mengonfigurasi setelan resource default untuk Logging menggunakan Google Cloud CLI. Setelan resource default, yang dapat diterapkan ke organisasi atau ke folder, dapat menentukan hal berikut:

• Apakah CMEK diperlukan untuk bucket log baru.

• Lokasi penyimpanan untuk bucket log _Default dan _Required.

• Apakah sink _Default diaktifkan atau dinonaktifkan.

• Filter yang diterapkan ke sink _Default resource baru.

Ringkasan

Resource organisasi berada di tingkat tertinggi dalam hierarki resource Google Cloud. Resource organisasi adalah induk dari resource turunan berikut: bucket, project, folder, akun penagihan Google Cloud, dan terkait Logging.

Anda dapat mengonfigurasi Logging untuk menggunakan setelan resource default bagi organisasi Google Cloud dan untuk folder. Saat Anda membuat resource baru, resource tersebut mewarisi setelan resource default dari induknya.

Cloud Logging mendukung setelan resource default berikut:

• Apakah bucket log baru dalam resource akan dienkripsi dengan kunci yang dikelola pelanggan, dan jika ya, kunci Cloud KMS default yang akan digunakan untuk enkripsi.

  Jika mengonfigurasi CMEK untuk resource, Anda juga harus menetapkan lokasi penyimpanan default untuk bucket _Default dan _Required baru yang dibuat oleh resource turunan.

• Lokasi penyimpanan untuk bucket _Default dan _Required baru. Lokasi penyimpanan ini memungkinkan Anda mengontrol tempat log disimpan.

  Jika Anda menetapkan lokasi penyimpanan default untuk suatu resource dan tidak mengonfigurasi CMEK untuk resource tersebut, bucket log baru dalam resource tidak memerlukan CMEK.

• Apakah sink log _Default diaktifkan atau dinonaktifkan untuk project baru di resource.

• Filter penyertaan atau filter pengecualian yang diterapkan ke semua sink _Default baru di resource turunan.

Contoh konfigurasi:

• Anda mengonfigurasi lokasi penyimpanan default untuk organisasi. Untuk project baru dalam organisasi, bucket _Default dan _Required dibuat di lokasi yang ditentukan.

• Anda mengonfigurasi lokasi penyimpanan default untuk organisasi dan mengonfigurasi lokasi penyimpanan default untuk setiap folder dalam organisasi tersebut. Untuk project baru yang berada di dalam folder, bucket _Default dan _Required dibuat di lokasi yang ditentukan oleh setelan folder. Untuk project yang tidak ada dalam folder, bucket _Default dan _Required dibuat di lokasi yang ditentukan oleh setelan organisasi.

• Anda mengonfigurasi CMEK untuk organisasi, dan untuk folder bernama Non-CMEK, Anda hanya menetapkan lokasi penyimpanan default. Jika Anda membuat project yang tidak ada di folder bernama Non-CMEK, bucket _Default dan _Required akan dibuat di lokasi yang sama dengan kunci Cloud Key Management Service, dan bucket log ini dienkripsi oleh kunci tersebut. Namun, jika Anda membuat project baru di folder bernama Non-CMEK, bucket log-nya akan dibuat di lokasi yang ditentukan oleh setelan folder tersebut, dan bucket log tersebut tidak dienkripsi oleh CMEK.

• Anda mengonfigurasi filter pengecualian yang berlaku untuk sink _Default baru di level organisasi. Filter ini mengecualikan log audit Akses Data agar tidak dirutekan melalui sink _Default di semua resource turunan, yang mencegah log audit Akses Data disimpan di bucket _Default.

Sebelum memulai

Dokumen ini tidak berisi informasi tentang cara mengonfigurasi CMEK sebagai setelan resource default untuk Logging. Untuk mengetahui informasi tentang topik tersebut, lihat Mengonfigurasi CMEK untuk Logging.

Untuk mulai mengonfigurasi setelan resource default untuk Logging, lakukan langkah berikut:

1. Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:

   gcloud init

2. Pastikan Anda memiliki izin Cloud Logging berikut untuk organisasi:

   • logging.settings.get
   • logging.settings.update

3. Pahami persyaratan pemformatan LogBucket, termasuk lokasi yang didukung tempat Anda dapat menyimpan log. Untuk daftar lokasi penyimpanan yang didukung untuk bucket log, lihat Regionitas data: Region yang didukung.

4. Temukan ID untuk organisasi atau folder yang setelan resource defaultnya ingin Anda konfigurasi:

   • ORGANIZATION_ID adalah ID numerik unik untuk organisasi Google Cloud. Anda tidak memerlukan nilai ini jika hanya berencana untuk mengonfigurasi setelan resource default untuk sebuah folder. Untuk informasi tentang mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
   • FOLDER_ID adalah ID numerik unik untuk folder Google Cloud. Anda tidak memerlukan nilai ini jika hanya berencana untuk mengonfigurasi setelan resource default untuk sebuah organisasi. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
   • LOCATION adalah lokasi tempat Anda ingin menyimpan data log.

Lihat setelan resource default untuk Logging

Guna melihat setelan resource default untuk Logging, termasuk lokasi penyimpanan default, gunakan perintah gcloud logging settings describe:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Perintah sebelumnya menampilkan informasi tentang setelan resource default. Misalnya, gambar berikut menunjukkan setelan resource default untuk organisasi tertentu:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

Nilai SERVICE_ACCT_NAME mungkin memiliki format cmek-12345 atau service-12345@.... Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API getSettings.

Menetapkan lokasi penyimpanan default

Bucket log adalah container dalam project, akun penagihan, folder, dan organisasi Google Cloud Anda yang menyimpan dan mengatur data log Anda. Untuk setiap project Google Cloud, akun penagihan, folder, dan organisasi, Logging secara otomatis membuat dua bucket log: _Required dan _Default, yang otomatis disimpan di lokasi global yang tidak ditentukan.

Anda dapat menentukan lokasi penyimpanan untuk bucket _Required dan _Default yang dimuat oleh organisasi atau folder dengan mengubah setelan resource default untuk Logging. Untuk daftar lokasi penyimpanan yang didukung, lihat Wilayah yang didukung.

Setelah Anda mengonfigurasi lokasi penyimpanan default untuk organisasi, hal berikut akan terjadi:

• Bucket _Required dan _Default yang ada di organisasi atau folder tersebut mempertahankan lokasi penyimpanan yang ditetapkan kepadanya pada saat dibuat.

• Untuk resource turunan yang dibuat di organisasi atau folder setelah lokasi penyimpanan default dikonfigurasi, bucket _Required dan _Default akan mewarisi lokasi penyimpanan default.

Lokasi penyimpanan default untuk Cloud Logging hanya berlaku untuk bucket log _Default dan _Required. Ini tidak berlaku untuk bucket log yang ditentukan pengguna.

Mengonfigurasi kebijakan organisasi

Logging mendukung kebijakan organisasi yang dapat membatasi lokasi penyimpanan data. Jika kebijakan tersebut ada untuk organisasi, Anda hanya dapat membuat bucket log di lokasi yang diizinkan oleh kebijakan tersebut.

Jika terdapat kebijakan organisasi yang menentukan batasan lokasi, nilai kebijakan untuk batasan tersebut harus menyertakan lokasi yang ditentukan dalam setelan resource default untuk Logging. Selanjutnya, jika Anda berencana mengubah setelan resource default, sebelum memperbarui setelan resource default, tinjau dan, jika perlu, perbarui kebijakan organisasi.

Untuk melihat atau memperbarui kebijakan organisasi, lakukan hal berikut:

1. Pada panel navigasi Konsol Google Cloud, pilih IAM & Admin, lalu pilih Organization Policies:

   Buka Kebijakan Organisasi

2. Pilih organisasi Anda.

3. Lihat, dan jika perlu, perbarui batasan dengan ID constraints/gcp.resourceLocations. Jika batasan ini tidak dikonfigurasi, update tidak diperlukan.

   Untuk informasi tentang cara melihat batasan tertentu dan cara mengedit batasan ini, lihat Membuat dan mengedit kebijakan.

Mengonfigurasi lokasi penyimpanan default untuk Logging

Guna mengonfigurasi lokasi penyimpanan default untuk Cloud Logging, jalankan perintah gcloud logging settings update dan sertakan flag --storage-location:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API updateSettings.

Untuk mengetahui informasi tentang cara mengatasi error saat memperbarui lokasi penyimpanan default, lihat Memecahkan masalah saat menetapkan lokasi resource default.

Mengonfigurasi sink _Default

Logging menyediakan sink _Default yang telah ditentukan untuk setiap project, akun penagihan, folder, dan resource organisasi Google Cloud. Setiap log yang dibuat dalam resource yang cocok dengan filter penyertaan dan yang tidak dikecualikan, akan dirutekan ke bucket resource yang telah ditetapkan, yang diberi nama _Default.

Anda dapat mengonfigurasi setelan resource default untuk sink _Default bagi organisasi dan folder dengan opsi berikut:

• Anda dapat menonaktifkan sink _Default untuk semua resource turunan.

• Anda dapat mengonfigurasi filter penyertaan atau beberapa filter pengecualian yang berlaku untuk sink _Default project baru.

Menonaktifkan sink _Default

Anda dapat menonaktifkan pembuatan sink _Default untuk semua resource baru dalam organisasi atau folder. Menonaktifkan sink _Default akan mencegah log disimpan di bucket _Default resource. Jika Anda berhenti menyimpan log di bucket _Default resource, log yang telah dirutekan ke bucket tersebut akan dikecualikan dari penyimpanan di Logging, kecuali jika log tersebut secara eksplisit disertakan dalam sink lain yang ditentukan pengguna untuk resource tersebut.

Untuk menonaktifkan sink _Default untuk resource dan resource turunannya, jalankan perintah gcloud logging settings update berikut:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Flag disable-default-sink hanya berlaku untuk sink _Default yang merutekan log ke dalam bucket _Default.

Anda dapat mengaktifkan kembali sink _Default dengan menjalankan perintah gcloud logging settings update berikut:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Mengonfigurasi filter default sink _Default

Sink _Default yang telah ditetapkan akan merutekan log apa pun yang cocok dengan kriteria sink ke bucket _Default yang sesuai. Anda dapat menggunakan filter penyertaan dan filter pengecualian untuk mengonfigurasi log yang disertakan dan dikecualikan untuk sink _Default baru dalam organisasi atau folder.

Filter penyertaan dapat mengganti atau ditambahkan ke filter sink _Default, dan filter pengecualian ditambahkan karena sink _Default tidak memiliki filter pengecualian secara default.

Untuk menentukan filter penyertaan atau filter pengecualian yang diterapkan ke semua sink _Default resource baru di organisasi atau folder, jalankan metode Cloud Logging API updateSettings dengan objek defaultSinkConfig. Anda hanya dapat menetapkan filter default sink _Default menggunakan Logging API.

Anda dapat menjalankan metode updateSettings menggunakan widget APIs Explorer di halaman referensi metode. Contoh berikut menggambarkan contoh parameter:

• name (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Isi permintaan, yang berisi instance Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Contoh sebelumnya melakukan hal berikut:

• Menimpa filter penyertaan sink _Default untuk menyertakan log audit Aktivitas Admin, yang dikecualikan secara default.

• Menambahkan filter pengecualian yang mencegah log audit Akses Data dirutekan ke bucket _Default.

Memecahkan masalah error konfigurasi

Untuk mengetahui informasi pemecahan masalah, lihat Memecahkan masalah CMEK dan error setelan default.