Ce document explique comment configurer les paramètres de ressource par défaut pour Logging à l'aide de la Google Cloud CLI. Les paramètres de ressource par défaut, qui peuvent être appliqués à une organisation ou à un dossier, peuvent déterminer les éléments suivants:
Indique si une clé CMEK est requise pour les nouveaux buckets de journaux.
Emplacement de stockage des buckets de journaux
_Defaultet_Required.Indique si le récepteur
_Defaultest activé ou désactivé.Filtre appliqué au récepteur
_Defaultdes nouvelles ressources.
Présentation
La ressource Organisation se situe au niveau le plus élevé de la hiérarchie des ressources Google Cloud. La ressource Organisation est le parent de ces ressources enfants : projets, dossiers, comptes de facturation Google Cloud et, en ce qui concerne Logging, les buckets.
Vous pouvez configurer Logging de manière à utiliser les paramètres de ressources par défaut pour une organisation Google Cloud et pour les dossiers. Lorsque vous créez des ressources, celles-ci héritent des paramètres par défaut de leurs ressources parentes.
Cloud Logging accepte les paramètres de ressources par défaut suivants:
Indique si les nouveaux buckets de journaux d'une ressource doivent être chiffrés avec une clé gérée par le client et, le cas échéant, la clé Cloud KMS par défaut à utiliser pour le chiffrement.
Si vous configurez une clé CMEK pour une ressource, vous devez également définir l'emplacement de stockage par défaut pour les nouveaux buckets
_Defaultet_Requiredcréés par des ressources enfants.Emplacement de stockage des nouveaux buckets
_Defaultet_Required. Cet emplacement de stockage vous permet de contrôler l'emplacement de stockage de vos journaux.Si vous définissez un emplacement de stockage par défaut pour une ressource et que vous ne configurez pas de clé CMEK pour cette ressource, les nouveaux buckets de journaux de la ressource ne nécessitent pas de clé CMEK.
Indique si le récepteur de journaux
_Defaultest activé ou désactivé pour les nouveaux projets dans la ressource.Les filtres d'inclusion ou d'exclusion appliqués à tous les nouveaux récepteurs
_Defaultdans les ressources enfants.
Exemples de configurations:
Vous configurez un emplacement de stockage par défaut pour une organisation. Pour les nouveaux projets de l'organisation, les buckets
_Defaultet_Requiredsont créés à l'emplacement spécifié.Vous configurez un emplacement de stockage par défaut pour une organisation ainsi qu'un emplacement de stockage par défaut pour chaque dossier de cette organisation. Pour les nouveaux projets situés dans un dossier, les buckets
_Defaultet_Requiredsont créés à l'emplacement spécifié par les paramètres du dossier. Pour les projets qui ne se trouvent pas dans un dossier, leurs buckets_Defaultet_Requiredsont créés à l'emplacement spécifié par les paramètres de l'organisation.Vous configurez une clé CMEK pour une organisation et, pour le dossier
Non-CMEK, vous ne définissez que l'emplacement de stockage par défaut. Si vous créez un projet qui ne se trouve pas dans le dossier nomméNon-CMEK, les buckets_Defaultet_Requiredsont créés au même emplacement que la clé Cloud Key Management Service, et ces buckets de journaux sont chiffrés à l'aide de cette clé. Toutefois, si vous créez un projet dans le dossier nomméNon-CMEK, leurs buckets de journaux sont créés aux emplacements spécifiés par les paramètres de ce dossier et ne sont pas chiffrés par CMEK.Vous configurez un filtre d'exclusion qui s'applique aux nouveaux récepteurs
_Defaultau niveau de l'organisation. Ce filtre empêche les journaux d'audit des accès aux données d'être acheminés via le récepteur_Defaultdans toutes les ressources enfants, ce qui empêche leur stockage dans le bucket_Default.
Avant de commencer
Ce document ne contient pas d'informations sur la configuration des CMEK en tant que paramètre de ressource par défaut pour Logging. Pour en savoir plus à ce sujet, consultez la section Configurer CMEK pour Logging.
Pour commencer à configurer les paramètres de ressources par défaut pour Logging, procédez comme suit:
Installez Google Cloud CLI, puis initialisez-la en exécutant la commande suivante :
gcloud init
Assurez-vous de disposer des autorisations Cloud Logging suivantes pour l'organisation:
logging.settings.getlogging.settings.update
Comprenez les exigences de mise en forme de
LogBucket, y compris les emplacements acceptés dans lesquels vous pouvez stocker vos journaux. Pour obtenir la liste des emplacements de stockage acceptés pour les buckets de journaux, consultez la section Régionalité des données: régions acceptées.Recherchez les identifiants de l'organisation ou du dossier pour lequel vous souhaitez configurer les paramètres de ressources par défaut:
- ORGANIZATION_ID est l'identifiant numérique unique de l'organisation Google Cloud. Vous n'avez pas besoin de cette valeur si vous prévoyez uniquement de configurer un paramètre de ressource par défaut pour un dossier. Pour savoir comment obtenir cet identifiant, consultez la section Obtenir l'ID de votre organisation.
- FOLDER_ID est l'identifiant numérique unique du dossier Google Cloud. Vous n'avez pas besoin de cette valeur si vous prévoyez uniquement de configurer un paramètre de ressource par défaut pour une organisation. Pour en savoir plus sur l'utilisation des dossiers, consultez la page Créer et gérer des dossiers.
- LOCATION est l'emplacement où vous souhaitez stocker les données des journaux.
Afficher les paramètres de ressource par défaut pour Logging
Pour afficher les paramètres par défaut des ressources pour Logging, y compris l'emplacement de stockage par défaut, utilisez la commande gcloud logging settings describe:
DOSSIER
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZATION
gcloud logging settings describe --organization=ORGANIZATION_ID
La commande précédente renvoie des informations sur les paramètres de ressource par défaut. Par exemple, voici les paramètres de ressources par défaut pour une organisation particulière:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
La valeur de SERVICE_ACCT_NAME peut être au format cmek-12345 ou service-12345@.... Si vous ne pouvez pas utiliser la Google Cloud CLI, exécutez la méthode de l'API Cloud Logging getSettings.
Définir l'emplacement de stockage par défaut
Les buckets de journaux sont les conteneurs de vos projets, comptes de facturation, dossiers et organisations Google Cloud qui stockent et organisent vos données de journaux. Pour chaque projet, compte de facturation, dossier et organisation Google Cloud, Logging crée automatiquement deux buckets de journaux: _Required et _Default, qui sont automatiquement stockés dans un emplacement global non spécifié.
Vous pouvez spécifier un emplacement de stockage pour les buckets _Required et _Default contenus dans une organisation ou un dossier en modifiant les paramètres de ressource par défaut pour Logging.
Pour obtenir la liste des emplacements de stockage acceptés, consultez la page Régions acceptées.
Une fois que vous avez configuré l'emplacement de stockage par défaut pour une organisation, voici ce qui se produit:
Les buckets
_Requiredet_Defaultexistants de cette organisation ou de ce dossier conservent l'emplacement de stockage qui leur a été attribué au moment de leur création.Pour les ressources enfants créées dans l'organisation ou le dossier après la configuration de l'emplacement de stockage par défaut, leurs buckets
_Requiredet_Defaulthéritent de l'emplacement de stockage par défaut.
L'emplacement de stockage par défaut pour Cloud Logging ne s'applique qu'aux buckets de journaux _Default et _Required. Elle ne s'applique pas aux buckets de journaux définis par l'utilisateur.
Configurer les règles d'administration
Logging est compatible avec les règles d'administration qui peuvent restreindre l'emplacement de stockage des données. Si une telle règle existe pour votre organisation, vous ne pouvez créer des buckets de journaux qu'aux emplacements autorisés par la règle.
Lorsqu'il existe une règle d'administration spécifiant une contrainte d'emplacement, les valeurs des règles de cette contrainte doivent inclure l'emplacement spécifié dans les paramètres de ressource par défaut pour Logging. En outre, si vous prévoyez de modifier vos paramètres de ressources par défaut, examinez et, si nécessaire, mettez à jour les règles d'administration avant de les mettre à jour.
Pour afficher ou mettre à jour les règles d'administration, procédez comme suit:
-
Dans le panneau de navigation de la console Google Cloud, sélectionnez IAM et administration, puis Règles d'administration:
Sélectionnez votre organisation.
Affichez et, si nécessaire, mettez à jour la contrainte avec l'ID
constraints/gcp.resourceLocations. Si cette contrainte n'est pas configurée, aucune mise à jour n'est requise.Pour savoir comment afficher des contraintes spécifiques et les modifier, consultez la page Créer et modifier des règles.
Configurer l'emplacement de stockage par défaut pour Logging
Pour configurer l'emplacement de stockage par défaut pour Cloud Logging, exécutez la commande gcloud logging settings update et incluez l'option --storage-location:
DOSSIER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Si vous ne pouvez pas utiliser la Google Cloud CLI, exécutez la méthode de l'API Cloud Logging updateSettings.
Pour savoir comment résoudre les erreurs lors de la mise à jour de l'emplacement de stockage par défaut, consultez la section Résoudre les problèmes liés à la définition de l'emplacement des ressources par défaut.
Configurer le récepteur _Default
Logging fournit un récepteur _Default prédéfini pour chaque projet, compte de facturation, dossier et ressource d'organisation Google Cloud. Tout journal généré dans la ressource correspondant au filtre d'inclusion et qui n'est pas exclu est acheminé vers le bucket _Default prédéfini de la ressource.
Vous pouvez configurer les paramètres de ressources par défaut du récepteur _Default pour votre organisation et vos dossiers à l'aide des options suivantes:
Vous pouvez désactiver le récepteur
_Defaultpour toutes les ressources enfants.Vous pouvez configurer un filtre d'inclusion ou plusieurs filtres d'exclusion qui s'appliquent aux récepteurs
_Defaultdes nouveaux projets.
Désactiver le récepteur _Default
Vous pouvez désactiver la création de récepteurs _Default pour toutes les nouvelles ressources d'une organisation ou d'un dossier. La désactivation des récepteurs _Default empêche le stockage des journaux dans le bucket _Default de la ressource.
Si vous cessez de stocker des journaux dans le bucket _Default d'une ressource, les journaux qui auraient été acheminés vers ce bucket sont exclus du stockage dans Logging, sauf s'ils sont explicitement inclus dans un autre récepteur défini par l'utilisateur pour cette ressource.
Pour désactiver les récepteurs _Default pour une ressource et l'une de ses ressources enfants, exécutez la commande gcloud logging settings update suivante:
DOSSIER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
L'option disable-default-sink ne s'applique qu'au récepteur _Default qui achemine les journaux dans le bucket _Default.
Vous pouvez réactiver les récepteurs _Default en exécutant la commande gcloud logging settings update suivante:
DOSSIER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configurer le filtre par défaut de _Default récepteurs
Le récepteur _Default prédéfini achemine tous les journaux correspondant aux critères du récepteur vers le bucket _Default correspondant. Vous pouvez utiliser des filtres d'inclusion et des filtres d'exclusion pour configurer les journaux à inclure ou à exclure pour les nouveaux récepteurs _Default dans une organisation ou un dossier.
Le filtre d'inclusion peut être ignoré ou ajouté au filtre du récepteur _Default. Les filtres d'exclusion sont ajoutés, car le récepteur _Default ne possède aucun filtre d'exclusion par défaut.
Pour spécifier un filtre d'inclusion ou un filtre d'exclusion appliqué à tous les récepteurs _Default de nouvelles ressources d'une organisation ou d'un dossier, exécutez la méthode de l'API Cloud Logging updateSettings avec l'objet defaultSinkConfig. Vous ne pouvez définir le filtre par défaut des récepteurs _Default qu'à l'aide de l'API Logging.
Vous pouvez exécuter la méthode updateSettings à l'aide du widget APIs Explorer sur la page de référence de la méthode. L'exemple suivant illustre des exemples de paramètres:
- name (URL) :
organizations/ORGANIZATION_ID/settings - updateMask :
"default_sink_config" Le corps de la requête, qui contient une instance de
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
L'exemple précédent effectue les opérations suivantes:
Écrase le filtre d'inclusion du récepteur
_Defaultpour inclure les journaux d'audit des activités d'administration, qui sont exclus par défaut.Ajoute un filtre d'exclusion qui empêche les journaux d'audit des accès aux données d'être acheminés vers le bucket
_Default.
Résoudre les erreurs de configuration
Pour en savoir plus sur la résolution des problèmes, consultez Résoudre les problèmes liés aux clés CMEK et aux erreurs de paramètres par défaut.