Standardeinstellungen für Organisationen und Ordner konfigurieren

In diesem Dokument wird beschrieben, wie Sie Standardressourceneinstellungen für Logging mithilfe der Google Cloud CLI konfigurieren. Mit Standardressourceneinstellungen, die auf eine Organisation oder einen Ordner angewendet werden können, kann Folgendes festgelegt werden:

• Gibt an, ob CMEK für neue Log-Buckets erforderlich ist.

• Der Speicherort für die Log-Buckets _Default und _Required.

• Gibt an, ob die Senke _Default aktiviert oder deaktiviert ist.

• Der Filter, der auf die Senke _Default neuer Ressourcen angewendet wird.

Überblick

Die Organisationsressource befindet sich auf der obersten Ebene der Google Cloud-Ressourcenhierarchie. Die Organisationsressource ist das übergeordnete Element dieser untergeordneten Ressourcen: Google Cloud-Projekte, Ordner, Rechnungskonten und in Bezug auf Logging Buckets.

Sie können Logging so konfigurieren, dass die Standardressourceneinstellungen für eine Google Cloud-Organisation und für Ordner verwendet werden. Wenn Sie neue Ressourcen erstellen, übernehmen diese Ressourcen die Standardeinstellungen der übergeordneten Ressource.

Cloud Logging unterstützt die folgenden Standardressourceneinstellungen:

• Gibt an, ob neue Log-Buckets in einer Ressource mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden sollen und wenn ja, der Cloud KMS-Standardschlüssel, der für die Verschlüsselung verwendet werden soll.

  Wenn Sie CMEK für eine Ressource konfigurieren, müssen Sie auch den Standardspeicherort für neue _Default- und _Required-Buckets festlegen, die von untergeordneten Ressourcen erstellt werden.

• Der Speicherort für neue _Default- und _Required-Buckets. Über diesen Speicherort können Sie steuern, wo Ihre Logs gespeichert werden.

  Wenn Sie einen Standardspeicherort für eine Ressource festlegen und für diese Ressource keinen CMEK konfigurieren, ist CMEK für neue Log-Buckets in der Ressource nicht erforderlich.

• Gibt an, ob die Logsenke _Default für neue Projekte in der Ressource aktiviert oder deaktiviert ist.

• Die Einschluss- oder Ausschlussfilter, die auf alle neuen _Default-Senken in den untergeordneten Ressourcen angewendet werden.

Beispielkonfigurationen:

• Sie konfigurieren einen Standardspeicherort für eine Organisation. Bei neuen Projekten in der Organisation werden die Buckets _Default und _Required am angegebenen Speicherort erstellt.

• Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation. Bei neuen Projekten, die sich in einem Ordner befinden, werden die Buckets _Default und _Required an dem in den Ordnereinstellungen angegebenen Speicherort erstellt. Bei Projekten, die sich nicht in einem Ordner befinden, werden die Buckets _Default und _Required an dem in den Einstellungen der Organisation angegebenen Speicherort erstellt.

• Sie konfigurieren CMEK für eine Organisation und legen für den Ordner mit dem Namen Non-CMEK nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen, das sich nicht im Ordner Non-CMEK befindet, werden die Buckets _Default und _Required am selben Speicherort wie der Cloud Key Management Service-Schlüssel erstellt. Diese Log-Buckets werden mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im Ordner Non-CMEK erstellen, werden seine Log-Buckets an den in der Einstellung dieses Ordners angegebenen Speicherorten erstellt. Diese Log-Buckets werden nicht durch CMEK verschlüsselt.

• Sie konfigurieren einen Ausschlussfilter, der für neue _Default-Senken auf Organisationsebene gilt. Der Filter verhindert, dass Audit-Logs zum Datenzugriff über die Senke _Default in allen untergeordneten Ressourcen weitergeleitet werden. Dadurch wird verhindert, dass die Audit-Logs zum Datenzugriff im _Default-Bucket gespeichert werden.

Hinweise

Dieses Dokument enthält keine Informationen zum Konfigurieren von CMEK als Standardressourceneinstellung für Logging. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren.

So konfigurieren Sie die Standardressourceneinstellungen für Logging:

1. Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:

   gcloud init

2. Sie benötigen die folgenden Cloud Logging-Berechtigungen für die Organisation:

   • logging.settings.get
   • logging.settings.update

3. Machen Sie sich mit den Formatierungsanforderungen für LogBucket vertraut, einschließlich der unterstützten Speicherorte für Ihre Logs. Eine Liste der unterstützten Speicherorte für Log-Buckets finden Sie unter Regionalität von Daten: Unterstützte Regionen.

4. Suchen Sie die IDs der Organisation oder des Ordners, für die Sie die Standardressourceneinstellungen konfigurieren möchten:

   • ORGANIZATION_ID ist die eindeutige numerische Kennung der Google Cloud-Organisation. Sie benötigen diesen Wert nicht, wenn Sie nur eine Standardressourceneinstellung für einen Ordner konfigurieren möchten. Informationen zum Abrufen dieser ID finden Sie unter Organisations-ID abrufen.
   • FOLDER_ID ist die eindeutige numerische Kennung des Google Cloud-Ordners. Sie benötigen diesen Wert nicht, wenn Sie nur eine Standardressourceneinstellung für eine Organisation konfigurieren möchten. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
   • LOCATION ist der Speicherort, an dem die Logdaten gespeichert werden sollen.

Standardressourceneinstellungen für Logging ansehen

Verwenden Sie den Befehl gcloud logging settings describe, um die Standardressourceneinstellungen für Logging einschließlich des Standardspeicherorts aufzurufen:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Der vorherige Befehl gibt Informationen zu den Standardressourceneinstellungen zurück. Im Folgenden sehen Sie beispielsweise die Standardressourceneinstellungen für eine bestimmte Organisation:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345 oder service-12345@... haben. Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode getSettings aus.

Standardspeicherort festlegen

Log-Buckets sind die Container in Ihren Google Cloud-Projekten, Rechnungskonten, Ordnern und Organisationen, die Ihre Logdaten speichern und organisieren. Logging erstellt für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisation automatisch zwei Log-Buckets: _Required und _Default. Diese werden automatisch an einem nicht angegebenen Speicherort für global gespeichert.

Sie können einen Speicherort für die Buckets _Required und _Default angeben, die in einer Organisation oder einem Ordner enthalten sind. Ändern Sie dazu die Standardressourceneinstellungen für Logging. Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.

Nachdem Sie den Standardspeicherort für eine Organisation konfiguriert haben, geschieht Folgendes:

• Vorhandene _Required- und _Default-Buckets in dieser Organisation oder diesem Ordner behalten den Speicherort, der ihnen bei ihrer Erstellung zugewiesen wurde.

• Bei untergeordneten Ressourcen, die in der Organisation oder im Ordner erstellt wurden, nachdem der Standardspeicherort konfiguriert wurde, übernehmen die Buckets _Required und _Default den Standardspeicherort.

Der Standardspeicherort für Cloud Logging gilt nur für die Log-Buckets _Default und _Required. Sie gilt nicht für benutzerdefinierte Log-Buckets.

Organisationsrichtlinien konfigurieren

Logging unterstützt Organisationsrichtlinien, die den Speicherort von Daten einschränken können. Wenn eine solche Richtlinie für Ihre Organisation vorhanden ist, können Sie Log-Buckets nur an Speicherorten erstellen, die von der Richtlinie zugelassen sind.

Ist eine Organisationsrichtlinie mit einer Standorteinschränkung vorhanden, müssen die Richtlinienwerte für die Einschränkung den Standort enthalten, der in den Standardressourceneinstellungen für Logging angegeben ist. Wenn Sie die Standardeinstellungen für Ressourcen ändern möchten, sollten Sie außerdem die Organisationsrichtlinien prüfen und gegebenenfalls aktualisieren, bevor Sie die Standardressourceneinstellungen aktualisieren.

So können Sie Organisationsrichtlinien aufrufen oder aktualisieren:

1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:

   Zu den Organisationsrichtlinien

   Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM und Verwaltung ist.

2. Wählen Sie Ihre Organisation aus.

3. Sehen Sie sich die Einschränkung mit der ID constraints/gcp.resourceLocations an und aktualisieren Sie sie bei Bedarf. Wenn diese Einschränkung nicht konfiguriert ist, ist keine Aktualisierung erforderlich.

   Informationen zum Aufrufen bestimmter Einschränkungen und zum Bearbeiten dieser Einschränkungen finden Sie unter Richtlinien erstellen und bearbeiten.

Standardspeicherort für Logging konfigurieren

Führen Sie den Befehl gcloud logging settings update aus und fügen Sie das Flag --storage-location ein, um den Standardspeicherort für Cloud Logging zu konfigurieren:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode updateSettings aus.

Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeicherorts finden Sie unter Fehlerbehebung beim Festlegen des Standardspeicherorts.

Senke _Default konfigurieren

Logging bietet für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisationsressource eine vordefinierte _Default-Senke. Alle Logs, die in der Ressource generiert werden, die mit dem Einschlussfilter übereinstimmen und nicht ausgeschlossen sind, werden an den vordefinierten Bucket der Ressource mit dem Namen _Default weitergeleitet.

Mit den folgenden Optionen können Sie Standardressourceneinstellungen für die Senke _Default für Ihre Organisation und Ordner konfigurieren:

• Sie können die Senke _Default für alle untergeordneten Ressourcen deaktivieren.

• Sie können einen Einschlussfilter oder mehrere Ausschlussfilter konfigurieren, die für die _Default-Senken neuer Projekte gelten.

Senke _Default deaktivieren

Sie können das Erstellen von _Default-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Durch das Deaktivieren der _Default-Senken wird verhindert, dass Logs im _Default-Bucket der Ressource gespeichert werden. Wenn Sie das Speichern von Logs im Bucket _Default einer Ressource beenden, werden die Logs, die an diesen Bucket weitergeleitet worden wären, vom Speichern in Logging ausgeschlossen, sofern sie nicht explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten sind.

Führen Sie den folgenden Befehl gcloud logging settings update aus, um die _Default-Senken für eine Ressource und eine ihrer untergeordneten Ressourcen zu deaktivieren:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Das Flag disable-default-sink gilt nur für die Senke _Default, die Logs an den Bucket _Default weiterleitet.

Sie können die _Default-Senken mit dem folgenden Befehl gcloud logging settings update wieder aktivieren:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Standardfilter für _Default Senken konfigurieren

Die vordefinierte Senke _Default leitet alle Logs, die die Senkenkriterien erfüllen, an den entsprechenden _Default-Bucket weiter. Mit Einschlussfiltern und Ausschlussfiltern können Sie konfigurieren, welche Logs für neue _Default-Senken in einer Organisation oder einem Ordner ein- und ausgeschlossen werden.

Der Einschlussfilter kann den Senkenfilter _Default entweder überschreiben oder an ihn angehängt werden. Die Ausschlussfilter werden angehängt, da die Senke _Default standardmäßig keine Ausschlussfilter hat.

Wenn Sie einen Einschluss- oder Ausschlussfilter angeben möchten, der auf alle _Default-Senken neuer Ressourcen in einer Organisation oder einem Ordner angewendet wird, führen Sie die Cloud Logging API-Methode updateSettings mit dem defaultSinkConfig-Objekt aus. Den Standardfilter von _Default-Senken können Sie nur mithilfe der Logging API festlegen.

Sie können die Methode updateSettings mithilfe des APIs Explorer-Widgets auf der Referenzseite der Methode ausführen. Das folgende Beispiel veranschaulicht Beispielparameter:

• Name (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Anfragetext, der eine Instanz von Settings enthält:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Im vorherigen Beispiel wird Folgendes ausgeführt:

• Überschreibt den Einschlussfilter der Senke _Default, sodass Audit-Logs zur Administratoraktivität eingeschlossen werden, die standardmäßig ausgeschlossen sind.

• Fügt einen Ausschlussfilter hinzu, der verhindert, dass Audit-Logs zum Datenzugriff an den Bucket _Default weitergeleitet werden.

Konfigurationsfehler beheben

Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung beim CMEK und bei der Standardeinstellung.