En este documento, se describe cómo establecer la configuración de recursos predeterminada para Logging con Google Cloud CLI. La configuración predeterminada de los recursos, que se puede aplicar a una organización o a una carpeta, puede determinar lo siguiente:
Si se requieren CMEK para los buckets de registros nuevos.
La ubicación de almacenamiento de los buckets de registros
_Defaulty_Required.Si el receptor
_Defaultestá habilitado o inhabilitadoEl filtro que se aplica al receptor
_Defaultde los recursos nuevos.
Descripción general
El recurso de organización se encuentra en el nivel más alto de la jerarquía de recursos de Google Cloud. El recurso de la organización es el superior de estos recursos secundarios: proyectos, carpetas, cuentas de facturación y, en relación con Logging, los buckets de Google Cloud.
Puedes configurar Logging a fin de que use la configuración de recursos predeterminada para una organización de Google Cloud y para carpetas. Cuando creas recursos nuevos, estos heredan la configuración de recursos predeterminada de su superior.
Cloud Logging admite la siguiente configuración de recursos predeterminada:
Indica si los buckets de registros nuevos en un recurso se deben encriptar o no con una clave administrada por el cliente y, si es así, con la clave predeterminada de Cloud KMS que se usará en la encriptación.
Si configuras CMEK para un recurso, también debes establecer la ubicación de almacenamiento predeterminada para los nuevos buckets
_Defaulty_Requiredque crean los recursos secundarios.La ubicación de almacenamiento para los buckets
_Defaulty_Requirednuevos. Esta ubicación de almacenamiento te permite controlar dónde se almacenan los registros.Si configuras una ubicación de almacenamiento predeterminada para un recurso y no configuras CMEK para ese recurso, los buckets de registros nuevos en el recurso no requieren CMEK.
Indica si el receptor de registros
_Defaultestá habilitado o inhabilitado para proyectos nuevos en el recurso.Los filtros de inclusión o los de exclusión que se aplican a todos los receptores de
_Defaultnuevos en los recursos secundarios.
Parámetros de configuración de ejemplo:
Configuras una ubicación de almacenamiento predeterminada para una organización. Para los proyectos nuevos en la organización, los buckets
_Defaulty_Requiredse crean en la ubicación especificada.Debes configurar una ubicación de almacenamiento predeterminada para una organización y una ubicación de almacenamiento predeterminada para cada carpeta de esa organización. Para los proyectos nuevos que están en una carpeta, los buckets
_Defaulty_Requiredse crean en la ubicación que especifica la configuración de la carpeta. Para los proyectos que no están en una carpeta, sus buckets_Defaulty_Requiredse crean en la ubicación que especifica la configuración de la organización.Configuras CMEK para una organización y, en la carpeta llamada
Non-CMEK, solo estableces la ubicación de almacenamiento predeterminada. Si creas un proyecto que no está en la carpeta llamadaNon-CMEK, los buckets de_Defaulty_Requiredse crean en la misma ubicación que la clave de Cloud Key Management Service, y estos buckets de registros se encriptan con esa clave. Sin embargo, si creas un proyecto nuevo en la carpeta llamadaNon-CMEK, sus buckets de registros se crean en las ubicaciones que especifica la configuración de esa carpeta y esos buckets de registros no se encriptan con CMEK.Configura un filtro de exclusión que se aplique a nuevos receptores de
_Defaulta nivel de la organización. El filtro excluye que los registros de auditoría de acceso a los datos se enruten a través del receptor_Defaulten todos los recursos secundarios, lo que evita que los registros de auditoría de acceso a los datos se almacenen en el bucket_Default.
Antes de comenzar
En este documento, no se contiene información sobre cómo configurar CMEK como un parámetro de configuración de recursos predeterminado para Logging. Si deseas obtener información sobre ese tema, consulta Configura CMEK para Logging.
Para comenzar a establecer la configuración de recursos predeterminada de Logging, haz lo siguiente:
Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
gcloud init
Asegúrate de tener los siguientes permisos de Cloud Logging para la organización:
logging.settings.getlogging.settings.update
Comprende los requisitos de formato de
LogBucket, incluidas las ubicaciones admitidas en las que puedes almacenar tus registros. Si quieres obtener una lista de las ubicaciones de almacenamiento admitidas para los buckets de registros, consulta Regionalidad de los datos: regiones compatibles.Busca los identificadores de la organización o la carpeta para la que deseas establecer la configuración predeterminada de los recursos:
- ORGANIZATION_ID es el identificador numérico único de la organización de Google Cloud. No necesitas este valor si solo planeas establecer una configuración de recursos predeterminada para una carpeta. Para obtener más información sobre cómo obtener este identificador, consulta Cómo obtener el ID de la organización.
- FOLDER_ID es el identificador numérico único de la carpeta de Google Cloud. No necesitas este valor si solo planeas establecer una configuración de recursos predeterminada para una organización. Para obtener información sobre el uso de carpetas, consulta Crea y administra carpetas.
- LOCATION es la ubicación en la que deseas almacenar tus datos de registro.
Ver la configuración de recursos predeterminada de Logging
Para ver la configuración de recursos predeterminada de Logging, incluida la ubicación de almacenamiento predeterminada, usa el comando gcloud logging settings describe:
CARPETA
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZACIÓN
gcloud logging settings describe --organization=ORGANIZATION_ID
El comando anterior muestra información sobre la configuración predeterminada de los recursos. Por ejemplo, a continuación, se muestra la configuración de recursos predeterminada para una organización en particular:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
El valor de SERVICE_ACCT_NAME puede tener el formato cmek-12345 o service-12345@.... Si no puedes usar Google Cloud CLI, ejecuta el
método de la API de Cloud Logging getSettings.
Cómo establecer la ubicación de almacenamiento predeterminada
Los buckets de registros son los contenedores de tus proyectos de Google Cloud, cuentas de facturación, carpetas y organizaciones que almacenan y organizan tus datos de registro. Para cada proyecto de Google Cloud, cuenta de facturación, carpeta y organización, Logging crea de forma automática dos buckets de registros: _Required y _Default, que se almacenan de forma automática en una ubicación global no especificada.
Puedes especificar una ubicación de almacenamiento para los buckets _Required y _Default que contiene una organización o una carpeta si modificas la configuración de recursos predeterminada de Logging.
Para obtener una lista de las ubicaciones de almacenamiento compatibles, consulta Regiones admitidas.
Después de configurar la ubicación de almacenamiento predeterminada para una organización, sucede lo siguiente:
Los buckets
_Requiredy_Defaultexistentes en esa organización o carpeta mantienen la ubicación de almacenamiento que se les asignó en el momento de su creación.En el caso de los recursos secundarios creados en la organización o la carpeta después de configurar la ubicación de almacenamiento predeterminada, los buckets
_Requiredy_Defaultheredan la ubicación de almacenamiento predeterminada.
La ubicación de almacenamiento predeterminada para Cloud Logging se aplica solo a los buckets de registros _Default y _Required. No se aplica a buckets de registros
definidos por el usuario.
Configura las políticas de la organización
Logging admite políticas de la organización que pueden restringir dónde se pueden almacenar los datos. Si tal política existe para tu organización, solo puedes crear buckets de registros en las ubicaciones que la política permita.
Cuando una política de la organización especifica una restricción de ubicación, los valores de la política para la restricción deben incluir la ubicación especificada en la configuración de recursos predeterminada de Logging. Además, si planeas modificar la configuración de recursos predeterminada, antes de actualizarla, revisa y, si es necesario, actualiza las políticas de la organización.
Para ver o actualizar las políticas de la organización, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página Políticas de la organización:
Ir a Políticas de la organización
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.
Selecciona tu organización.
Observa y, si es necesario, actualiza la restricción con el ID
constraints/gcp.resourceLocations. Si no se configura esta restricción, no se requiere una actualización.Para obtener información sobre cómo ver restricciones específicas y cómo editarlas, consulta Crea y edita políticas.
Configura la ubicación de almacenamiento predeterminada para Logging
Si deseas configurar la ubicación de almacenamiento predeterminada para Cloud Logging, ejecuta el comando gcloud logging settings update y, además, incluye la marca --storage-location:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Si no puedes usar Google Cloud CLI, ejecuta el
método de la API de Cloud Logging updateSettings.
Si quieres obtener información para resolver errores cuando actualizas la ubicación de almacenamiento predeterminada, consulta Soluciona problemas relacionados con la configuración de la ubicación predeterminada de los recursos.
Configura el receptor _Default
Logging proporciona un receptor de _Default predefinido para cada proyecto de Google Cloud, cuenta de facturación, carpeta y recurso de organización. Cualquier registro que se genere en el recurso que coincida con el filtro de inclusión y que no se excluya se enrutará al bucket predefinido del recurso, que corresponde al nombre _Default.
Puedes establecer la configuración de recursos predeterminada del receptor _Default para tu organización y tus carpetas con las siguientes opciones:
Puedes inhabilitar el receptor
_Defaultpara todos los recursos secundarios.Puedes configurar un filtro de inclusión o varios filtros de exclusión que se apliquen a los receptores
_Defaultde proyectos nuevos.
Inhabilita el receptor _Default
Puedes inhabilitar la creación de receptores de _Default para todos los recursos nuevos de una organización o carpeta. Si inhabilitas los receptores de _Default, evitas que los registros se almacenen en el bucket _Default del recurso.
Si dejas de almacenar registros en el bucket _Default de un recurso, los registros que se habrían enrutado a ese bucket se excluirán del almacenamiento en Logging, a menos que se incluyan de forma explícita en otro receptor definido por el usuario para ese recurso.
Para inhabilitar los receptores de _Default de un recurso y cualquiera de sus recursos secundarios, ejecuta el siguiente comando de gcloud logging settings update:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
La marca disable-default-sink solo se aplica al receptor _Default que enruta los registros al bucket _Default.
Para volver a habilitar los receptores de _Default, ejecuta el siguiente comando gcloud logging settings update:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configura el filtro predeterminado de _Default receptores
El receptor _Default predefinido enruta cualquier registro que coincida con los criterios del receptor al bucket _Default correspondiente. Puedes usar filtros de inclusión y filtros de exclusión para configurar qué registros se incluyen y se excluyen para los receptores _Default nuevos en una organización o carpeta.
El filtro de inclusión puede anularse o agregarse al filtro del receptor _Default, y los filtros de exclusión se agregan, ya que el receptor _Default no tiene filtros de exclusión de forma predeterminada.
Para especificar un filtro de inclusión o un filtro de exclusión que se aplique a todos los receptores _Default de los recursos nuevos en una organización o carpeta, ejecuta el método de la API de Cloud Logging updateSettings con el objeto defaultSinkConfig. Solo puedes configurar el filtro predeterminado de los receptores de _Default mediante la API de Logging.
Puedes ejecutar el método updateSettings con el widget del Explorador de APIs en la página de referencia del método. En el siguiente ejemplo, se ilustran los parámetros de muestra:
- Nombre (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Cuerpo de la solicitud, que contiene una instancia de
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
En el ejemplo anterior, se hace lo siguiente:
Reemplaza el filtro de inclusión del receptor
_Defaultpara incluir los registros de auditoría de actividad del administrador, que se excluyen de forma predeterminada.Agrega un filtro de exclusión que evita que los registros de auditoría de acceso a los datos se enruten al bucket
_Default.
Soluciona problemas de errores de configuración
Para obtener información sobre la solución de problemas, consulta Soluciona problemas de CMEK y errores de configuración predeterminada.