Definir configurações padrão para organizações e pastas

Este documento descreve como definir as configurações de recursos padrão para Geração de registros usando a Google Cloud CLI. Configurações de recursos padrão, que podem ser aplicadas a uma organização ou para uma pasta, pode determinar o seguinte:

  • Define se a CMEK é necessária para novos buckets de registros.

  • O local de armazenamento, que determina o seguinte:

    • Onde os buckets de registro _Default e _Required são armazenados.

    • Onde as consultas nas páginas Análise de registros ou Análise de registros estão armazenadas, especificamente as consultas recentes e as consultas salvas por um membro da projeto do Google Cloud.

  • Se o coletor _Default está ativado ou desativado.

  • O filtro aplicado ao coletor _Default de novos recursos.

Visão geral

O recurso da organização está no nível mais alto Hierarquia de recursos do Google Cloud. O recurso da organização é o pai destes recursos filhos: projetos, pastas, contas de faturamento do Google Cloud e, o Logging, buckets.

É possível configurar o Logging para usar as configurações de recursos padrão para uma organização do Google Cloud e para pastas. Ao criar um novo recursos herdam as configurações padrão dos recursos pai

O Cloud Logging é compatível com as seguintes configurações de recurso padrão:

  • Se os novos buckets de registro em um recurso precisam ser criptografados com uma chave gerenciada pelo cliente e, em caso afirmativo, a chave do Cloud KMS padrão para criptografia.

    Se você configurar a CMEK para um recurso, também precisará definir o local de armazenamento padrão para os novos buckets _Default e _Required criados por recursos filhos.

  • O local de armazenamento dos novos Buckets _Default e _Required, e consultas nas páginas Análise de registros ou Análise de registros. Esse local de armazenamento permite controlar onde seus registros são armazenados.

    Se você definir um local de armazenamento padrão para um recurso e não configurar CMEK para esse recurso, os novos buckets de registro no recurso não precisarão CMEK.

  • Se o coletor de registros _Default está ativado ou desativado para novos projetos no recurso.

  • Os filtros de inclusão ou de exclusão que são aplicados a todas as novas Coletores _Default nos recursos filhos.

Exemplos de configuração:

  • Você configura um local de armazenamento padrão para uma organização. Para novos projetos na organização, os buckets _Default e _Required estão criados no local especificado.

  • Você configura um local de armazenamento padrão para uma organização configurar um local de armazenamento padrão para cada pasta nessa organização. Para novos projetos que estão em uma pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da pasta. Para projetos que não estejam em uma pasta, os buckets _Default e _Required são criadas no local especificado pelas configurações da organização.

  • Configure um local de armazenamento padrão em que todas as consultas do Análise de registros são armazenados. Isso inclui consultas recentes que são salvas automaticamente após serem executadas, e as consultas salvas pelos membros do projeto do Google Cloud.

  • Você configura a CMEK para uma organização e para a pasta chamada Non-CMEK você só define o local de armazenamento padrão. Se você criar um projeto que não esteja na pasta Non-CMEK, Os buckets _Default e _Required são criados no mesmo local que o do Cloud Key Management Service e esses buckets de registro são criptografados por essa chave. No entanto, se você criar um novo projeto na pasta Non-CMEK, os buckets de registros sejam criados nos locais especificados e esses buckets de registros não são criptografados pela CMEK.

  • Você configura um filtro de exclusão que se aplica a novos coletores _Default em um no nível da organização. O filtro impede que os registros de auditoria de acesso a dados sejam roteadas pelo coletor _Default em todos os recursos filhos, o que impede os registros de auditoria de acesso a dados sejam armazenados no bucket _Default.

Antes de começar

Este documento não contém informações sobre como configurar a CMEK como um configuração de recurso padrão para o Logging. Para mais informações sobre esse assunto, consulte Configure a CMEK para o Logging.

Para começar a definir as configurações de recursos padrão para o Logging, faça o seguinte:

  1. Instale a Google Cloud CLI e inicialize-a executando o seguinte comando: 

    gcloud init

  2. Verifique se você tem as seguintes permissões do Cloud Logging para o organização:

    • logging.settings.get
    • logging.settings.update

  3. Entenda os requisitos de formatação do LogBucket, incluindo: os locais compatíveis para armazenar registros. Para conferir uma lista dos locais de armazenamento compatíveis com buckets de registros, consulte Regionalidade de dados: regiões compatíveis.

  4. Encontre os identificadores da organização ou a pasta Se você quiser definir as configurações de recursos padrão:

    • ORGANIZATION_ID é o identificador numérico exclusivo do organização do Google Cloud. Esse valor não é necessário se você planeja apenas configurar uma configuração de recurso padrão para uma pasta. Para informações sobre como conseguir esse identificador, consulte Encontrando o ID da organização.
    • FOLDER_ID é o identificador numérico exclusivo do do Google Cloud. Esse valor não é necessário se você planeja apenas configurar é uma configuração de recurso padrão para uma organização. Para mais informações sobre o uso de pastas, consulte Como criar e gerenciar pastas.
    • LOCATION é o local onde você quer armazenar o dados de registro.

Ver as configurações de recursos padrão do Logging

Para conferir as configurações de recursos padrão do Logging, incluindo o local de armazenamento padrão, gcloud logging settings describe comando:

PASTA 

 gcloud logging settings describe --folder=FOLDER_ID

ORGANIZAÇÃO 

gcloud logging settings describe --organization=ORGANIZATION_ID

O comando anterior retorna informações sobre as configurações de recursos padrão. Por exemplo, isto mostra as configurações de recursos padrão para um organização específica:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345 ou service-12345@... Se não for possível usar a Google Cloud CLI, execute o Método getSettings da API Cloud Logging.

Definir o local de armazenamento padrão

Buckets de registros são os contêineres Projetos do Google Cloud, contas de faturamento, pastas e organizações que armazenam e organizar os dados de registro. Para cada projeto do Google Cloud, conta de faturamento, pasta e organização, o Logging cria dois registros buckets: _Required e _Default, que são armazenados automaticamente em um local global não especificado.

É possível especificar um local de armazenamento para _Required e _Default que estão contidos em uma organização ou pasta, modificando o as configurações de recurso padrão do Logging. Este local de armazenamento também determina onde as consultas nas páginas Análise de registros e Análise de registros são armazenados. Essas consultas incluem consultas recentes salvas automaticamente após a execução e consultas salvas por membros do projeto do Google Cloud.

Para conferir uma lista dos locais de armazenamento compatíveis, consulte Regiões com suporte.

Depois que você configurar o local de armazenamento padrão de uma organização, o o seguinte acontece:

  • Buckets _Required e _Default atuais nesta organização ou pasta manter o local de armazenamento atribuído a eles no momento em que foram criados.

  • Para recursos filhos criados na organização ou na pasta depois que o local de armazenamento padrão for configurado, os Os buckets _Required e _Default herdam o local de armazenamento padrão.

  • As consultas atuais da Análise de registros ou da Análise de registros mantêm os local de armazenamento atual.

  • As novas consultas da Análise de registros ou da Análise de registros que você salva após o padrão estiver configurado para usar o local de armazenamento padrão. Esse local também se aplica a consultas recentes salvas automaticamente.

O local de armazenamento padrão do Cloud Logging é aplicado apenas aos buckets de registro _Default e _Required e às consultas nas páginas Análise de registros ou Análise de registros. Essas consultas incluem consultas salvas automaticamente após serem executadas e consultas salvas pelo membros do projeto do Google Cloud. Isso não se aplica a registros definidos pelo usuário buckets ou consultas salvas usando a API Logging, como um local precisa ser especificado na solicitação.

Configurar as políticas da organização

O Logging oferece suporte às políticas da organização restringir onde os dados podem ser armazenados. Se houver uma política desse tipo para sua organização, você só poderá criar buckets de registros em locais permitidos pela política.

Quando existe uma política da organização que especifica uma restrição de local, os valores da política para a restrição devem incluir o local especificado no as configurações de recursos padrão do Logging. Além disso, se você planeja modificar as configurações padrão de recursos, atualizar as configurações padrão de recursos, revisar e, se necessário, atualizar as políticas da organização.

Para ver ou atualizar as políticas da organização, faça o seguinte:

  1. No console do Google Cloud, acesse a página Políticas da organização:

    Acessar Políticas da organização

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.

  2. Selecione a organização.

  3. Visualize e, se necessário, atualize a restrição com o ID constraints/gcp.resourceLocations: Se essa restrição não for configurada, não precisará atualizar.

    Para mais informações sobre como visualizar restrições específicas e como editar essas restrições, consulte Como criar e editar políticas.

Configurar o local de armazenamento padrão do Logging

Para configurar o local de armazenamento padrão do Cloud Logging, execute o gcloud logging settings update e inclua a sinalização --storage-location:

PASTA 

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

ORGANIZAÇÃO 

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Se não for possível usar a Google Cloud CLI, execute o Método updateSettings da API Cloud Logging.

Para informações sobre como resolver erros ao atualizar o armazenamento padrão local, consulte Resolver problemas ao definir o local padrão de recursos.

Configurar o coletor _Default

O Logging fornece um _Default coletor para cada Projeto do Google Cloud, conta de faturamento, pasta e recurso da organização. Qualquer um que é gerado no recurso que corresponde ao filtro de inclusão e que não for excluído, é encaminhado para o sistema predefinido do recurso, chamado _Default.

É possível definir configurações de recurso padrão para o coletor _Default do seu organização e pastas com as seguintes opções:

  • É possível desativar o coletor _Default para todos os recursos filhos.

  • Você pode configurar um ou vários filtros de inclusão que se aplicam aos coletores _Default de novos projetos.

.

Desativar o coletor _Default

É possível desativar a criação de coletores _Default para todos os novos recursos no uma organização ou pasta, desativar os coletores _Default impede que que os registros sejam armazenados no bucket _Default do recurso. Se você parar de armazenar registros em um bucket _Default do recurso, os registros que teriam sido roteados para ele do bucket são excluídos do armazenamento no Logging, a menos que esses registros são explicitamente incluídos em outro coletor definido pelo usuário para esse recurso.

Desativar os coletores _Default de um recurso e de qualquer filho recursos, execute o seguinte gcloud logging settings update comando:

PASTA 

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

ORGANIZAÇÃO 

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

A sinalização disable-default-sink se aplica apenas ao coletor _Default que roteia registros no bucket _Default.

Para reativar os coletores _Default, execute o seguinte gcloud logging settings update comando:

PASTA 

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

ORGANIZAÇÃO 

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configurar o filtro padrão de _Default coletores

O coletor _Default predefinido roteia todos os registros que correspondam aos critérios do coletor. para o bucket _Default correspondente. Você pode usar filtros de inclusão e filtros de exclusão para configurar quais registros são incluídos e excluídos para novos coletores _Default em uma organização ou pasta.

O filtro de inclusão pode substituir ou ser anexado ao filtro do coletor _Default, e os filtros de exclusão serão anexados porque o coletor _Default não tem filtros de exclusão por padrão.

Para especificar um filtro de inclusão ou de exclusão que seja aplicado a todas _Default coletores de novos recursos em uma organização ou pasta, execute o método updateSettings da API Cloud Logging com objeto defaultSinkConfig. Só é possível definir o filtro padrão Coletores _Default usando a API Logging.

É possível executar o método updateSettings usando o widget do APIs Explorer na página de referência do método. O exemplo a seguir ilustra parâmetros de amostra:

  • nome (URL): organizations/ORGANIZATION_ID/settings
  • updateMask: "default_sink_config"

  • Corpo da solicitação, que contém uma instância de Settings:

    "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

O exemplo anterior faz o seguinte:

  • Substitui o filtro de inclusão do coletor _Default para incluir a de administrador Registros de auditoria de atividade, que são excluídos por padrão.

  • anexa um filtro de exclusão que impede que os registros de auditoria de acesso a dados sejam roteada para o bucket _Default.

Resolver problemas de configuração

Para informações sobre solução de problemas, consulte Resolver erros de CMEK e configuração padrão.