Configura le impostazioni predefinite per organizzazioni e cartelle

Questo documento descrive come configurare le impostazioni predefinite delle risorse per Logging utilizzando Google Cloud CLI. Le impostazioni predefinite delle risorse, che possono essere applicate a un'organizzazione o a una cartella, possono determinare quanto segue:

• Indica se è necessaria una CMEK per i nuovi bucket di log.

• La posizione di archiviazione per i bucket di log _Default e _Required.

• Indica se il sink _Default è abilitato o disabilitato.

• Il filtro applicato al sink _Default delle nuove risorse.

Panoramica

La risorsa organizzazione si trova al livello più alto della gerarchia delle risorse di Google Cloud. La risorsa organizzazione è l'elemento padre di queste risorse figlio: progetti, cartelle e account di fatturazione Google Cloud e, per quanto riguarda Logging, i bucket.

Puoi configurare Logging in modo che utilizzi le impostazioni predefinite delle risorse per un'organizzazione Google Cloud e per le cartelle. Quando crei nuove risorse, queste ereditano le impostazioni predefinite delle risorse padre.

Cloud Logging supporta le seguenti impostazioni predefinite delle risorse:

• Indica se i nuovi bucket di log in una risorsa devono essere criptati con una chiave gestita dal cliente e, in questo caso, con la chiave Cloud KMS predefinita da utilizzare per la crittografia.

  Se configuri una CMEK per una risorsa, devi anche impostare la località di archiviazione predefinita per i nuovi bucket _Default e _Required creati dalle risorse figlio.

• La località di archiviazione per i nuovi bucket _Default e _Required. Questa posizione di archiviazione ti consente di controllare la posizione in cui vengono archiviati i log.

  Se imposti una località di archiviazione predefinita per una risorsa e non configuri CMEK per risorsa, i nuovi bucket di log nella risorsa non richiedono CMEK.

• Indica se il sink di log _Default è abilitato o disabilitato per i nuovi progetti nella risorsa.

• I filtri di inclusione o di esclusione applicati a tutti i nuovi sink _Default nelle risorse figlio.

Configurazioni di esempio:

• Configuri una posizione di archiviazione predefinita per un'organizzazione. Per i nuovi progetti nell'organizzazione, i bucket _Default e _Required vengono creati nella località specificata.

• Puoi configurare una posizione di archiviazione predefinita per un'organizzazione e una posizione di archiviazione predefinita per ogni cartella al suo interno. Per i nuovi progetti che si trovano in una cartella, i bucket _Default e _Required vengono creati nella località specificata dalle impostazioni della cartella. Per i progetti che non si trovano in una cartella, i relativi bucket _Default e _Required vengono creati nella località specificata dalle impostazioni dell'organizzazione.

• Configuri CMEK per un'organizzazione e per la cartella denominata Non-CMEK imposti solo la posizione di archiviazione predefinita. Se crei un progetto che non si trova nella cartella denominata Non-CMEK, i bucket _Default e _Required vengono creati nella stessa posizione della chiave di Cloud Key Management Service e i bucket di log vengono criptati dalla chiave. Tuttavia, se crei un nuovo progetto nella cartella denominata Non-CMEK, i relativi bucket di log vengono creati nelle località specificate dall'impostazione della cartella e i bucket di log non vengono criptati da CMEK.

• Configuri un filtro di esclusione che si applica ai nuovi sink _Default a livello di organizzazione. Il filtro esclude l'instradamento degli audit log di accesso ai dati tramite il sink _Default in tutte le risorse figlio, impedendo l'archiviazione degli audit log di accesso ai dati nel bucket _Default.

Prima di iniziare

Questo documento non contiene informazioni su come configurare CMEK come impostazione delle risorse predefinita per Logging. Per informazioni su quell'argomento, vedi Configurare CMEK per il logging.

Per iniziare a configurare le impostazioni predefinite delle risorse per Logging, segui questi passaggi:

1. Installa Google Cloud CLI, quindi initialize eseguendo questo comando:

   gcloud init

2. Assicurati di disporre delle seguenti autorizzazioni di Cloud Logging per l'organizzazione:

   • logging.settings.get
   • logging.settings.update

3. Comprendi i requisiti di formattazione di LogBucket, incluse le località supportate in cui puoi archiviare i log. Per un elenco delle località di archiviazione supportate per i bucket di log, consulta Regione dei dati: regioni supportate.

4. Trova gli identificatori per l'organizzazione o la cartella per cui vuoi configurare le impostazioni predefinite delle risorse:

   • ORGANIZATION_ID è l'identificatore numerico univoco dell'organizzazione Google Cloud. Questo valore non è necessario se prevedi di configurare solo un'impostazione delle risorse predefinita per una cartella. Per informazioni su come ottenere questo identificatore, consulta Recupero dell'ID organizzazione.
   • FOLDER_ID è l'identificatore numerico univoco della cartella Google Cloud. Questo valore non è necessario se prevedi di configurare solo un'impostazione predefinita delle risorse per un'organizzazione. Per informazioni sull'utilizzo delle cartelle, consulta Creare e gestire le cartelle.
   • LOCATION è la posizione in cui vuoi archiviare i dati di log.

Visualizza le impostazioni predefinite delle risorse per Logging

Per visualizzare le impostazioni predefinite delle risorse per Logging, inclusa la località di archiviazione predefinita, utilizza il comando gcloud logging settings describe:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Il comando precedente restituisce informazioni sulle impostazioni predefinite delle risorse. Ad esempio, di seguito sono mostrate le impostazioni predefinite delle risorse per una determinata organizzazione:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

Il valore dell'attributo SERVICE_ACCT_NAME potrebbe avere il formato cmek-12345 o service-12345@.... Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging getSettings.

Impostare la posizione di archiviazione predefinita

I bucket di log sono i container dei progetti, degli account di fatturazione, delle cartelle e delle organizzazioni Google Cloud in cui vengono archiviati e organizzati i dati di log. Per ogni progetto, account di fatturazione, cartella e organizzazione Google Cloud, Logging crea automaticamente due bucket di log: _Required e _Default, che vengono archiviati automaticamente in una località global non specificata.

Puoi specificare una località di archiviazione per i bucket _Required e _Default contenuti in un'organizzazione o in una cartella modificando le impostazioni predefinite delle risorse per Logging. Per un elenco delle località di archiviazione supportate, vedi Regioni supportate.

Dopo aver configurato la località di archiviazione predefinita per un'organizzazione, si verifica quanto segue:

• I bucket _Required e _Default esistenti nell'organizzazione o nella cartella mantengono la posizione di archiviazione assegnata al momento della creazione.

• Per le risorse figlio create nell'organizzazione o nella cartella dopo aver configurato la località di archiviazione predefinita, i relativi bucket _Required e _Default ereditano la località di archiviazione predefinita.

La località di archiviazione predefinita per Cloud Logging si applica solo ai bucket di log _Default e _Required. Non si applica ai bucket di log definiti dall'utente.

Configura i criteri dell'organizzazione

Logging supporta i criteri dell'organizzazione che possono limitare le località in cui è possibile archiviare i dati. Se questo criterio esiste per la tua organizzazione, puoi creare bucket di log solo nelle località consentite dal criterio.

Quando esiste un criterio dell'organizzazione che specifica un vincolo di località, i valori del criterio per il vincolo devono includere la località specificata nelle impostazioni predefinite delle risorse per Logging. Inoltre, se prevedi di modificare le impostazioni predefinite delle risorse, prima di aggiornare le impostazioni predefinite delle risorse, rivedi e, se necessario, aggiorna i criteri dell'organizzazione.

Per visualizzare o aggiornare i criteri dell'organizzazione:

1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione:

   Vai a Criteri dell'organizzazione

   Se usi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.

2. Seleziona la tua organizzazione.

3. Visualizza e, se necessario, aggiorna il vincolo con ID constraints/gcp.resourceLocations. Se questo vincolo non è configurato, non è necessario un aggiornamento.

   Per informazioni su come visualizzare e modificare vincoli specifici, consulta Creazione e modifica dei criteri.

Configura la località di archiviazione predefinita per Logging

Per configurare la posizione di archiviazione predefinita per Cloud Logging, esegui il comando gcloud logging settings update e includi il flag --storage-location:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging updateSettings.

Per informazioni sulla risoluzione degli errori durante l'aggiornamento della località di archiviazione predefinita, consulta Risolvere i problemi relativi all'impostazione della località predefinita delle risorse.

Configura il sink _Default

Logging fornisce un sink _Default predefinito per ogni progetto, account di fatturazione, cartella e risorsa dell'organizzazione di Google Cloud. Tutti i log generati nella risorsa che corrisponde al filtro di inclusione e che non sono esclusi vengono instradati al bucket _Default predefinito della risorsa, con nome corrispondente.

Puoi configurare le impostazioni predefinite delle risorse per il sink _Default per la tua organizzazione e le tue cartelle con le seguenti opzioni:

• Puoi disabilitare il sink _Default per tutte le risorse figlio.

• Puoi configurare un filtro di inclusione o più filtri di esclusione che si applicano ai sink _Default dei nuovi progetti.

Disattiva il sink _Default

Puoi disabilitare la creazione di sink _Default per tutte le nuove risorse in un'organizzazione o in una cartella; la disabilitazione dei sink _Default impedisce ai log di essere archiviati nel bucket _Default della risorsa. Se interrompi l'archiviazione dei log nel bucket _Default di una risorsa, i log che sarebbero stati instradati a quel bucket vengono esclusi dall'archiviazione in Logging, a meno che non vengano inclusi esplicitamente in un altro sink definito dall'utente per quella risorsa.

Per disabilitare i sink _Default per una risorsa e tutte le relative risorse figlio, esegui questo comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Il flag disable-default-sink si applica solo al sink _Default che instrada i log nel bucket _Default.

Puoi riabilitare i sink _Default eseguendo questo comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configura il filtro predefinito di _Default sink

Il sink _Default predefinito instrada tutti i log corrispondenti ai criteri del sink al bucket _Default corrispondente. Puoi utilizzare filtri di inclusione e filtri di esclusione per configurare quali log includere ed esclusi per i nuovi sink _Default in un'organizzazione o in una cartella.

Il filtro di inclusione può eseguire l'override o essere aggiunto al filtro del sink _Default e i filtri di esclusione vengono aggiunti poiché il sink _Default non ha filtri di esclusione per impostazione predefinita.

Per specificare un filtro di inclusione o un filtro di esclusione applicato a tutti i sink _Default di nuove risorse in un'organizzazione o una cartella, esegui il metodo dell'API Cloud Logging updateSettings con l'oggetto defaultSinkConfig. Puoi impostare il filtro predefinito dei sink _Default solo utilizzando l'API Logging.

Puoi eseguire il metodo updateSettings utilizzando il widget Explorer API nella pagina di riferimento del metodo. L'esempio seguente illustra alcuni parametri di esempio:

• name (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Corpo della richiesta, che contiene un'istanza di Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Nell'esempio precedente:

• Sovrascrive il filtro di inclusione del sink _Default per includere gli audit log delle attività di amministrazione, che sono esclusi per impostazione predefinita.

• Consente di aggiungere un filtro di esclusione che impedisce l'instradamento degli audit log di accesso ai dati al bucket _Default.

Risolvere gli errori di configurazione

Per informazioni sulla risoluzione dei problemi, vedi Risolvere gli errori relativi a CMEK e impostazioni predefinite.