Definir configurações padrão para organizações e pastas

Este documento descreve como configurar as configurações padrão de geração de registros usando a Google Cloud CLI. As configurações padrão, que podem ser aplicadas a uma organização ou a uma pasta, podem determinar o seguinte:

• Se uma chave de criptografia gerenciada pelo cliente (CMEK) é necessária para novos buckets de registro.

• O local de armazenamento de novos buckets _Default e _Required, e de consultas executadas nas páginas Explorador de registros ou Análise de dados de registro.

• Se o coletor _Default está ativado ou desativado.

• O filtro aplicado ao sink _Default de novos recursos.

Visão geral

O recurso da organização está no nível mais alto da hierarquia de recursos do Google Cloud. O recurso da organização é o pai dos seguintes recursos filhos: projetos do Google Cloud, pastas, contas de faturamento e, em relação ao registro, buckets de registro.

É possível configurar a geração de registros para usar as configurações padrão de uma organização do Google Cloud e de pastas. Quando você cria novos recursos, eles herdam as configurações padrão do recurso pai.

O Cloud Logging é compatível com as seguintes configurações padrão:

• Indica se os novos buckets de registro em um recurso precisam ser criptografados com uma chave gerenciada pelo cliente e, em caso afirmativo, a chave padrão do Cloud KMS a ser usada para criptografia.

• O local de armazenamento de novos buckets de registro _Default e _Required criados por recursos filhos, e para consultas salvas pelas páginas Explorador de registros ou Análise de dados de registro. Ao definir o local de armazenamento, você pode controlar onde seus registros são armazenados.

  Se você definir um local de armazenamento padrão para um recurso e não configurar o CMK para ele, os novos buckets de registro no recurso não vão exigir o CMK.

• Se o sink de registro _Default está ativado ou desativado para novos projetos no recurso.

• Os filtros de inclusão ou de exclusão que são aplicados a todos os novos coletores _Default nos recursos filhos.

Exemplos de configurações:

• Você configura um local de armazenamento padrão para uma organização. Para novos projetos na organização, os buckets de registro _Default e _Required são criados no local especificado. Além disso, as consultas salvas pelas páginas Explorador de registros ou Log Analytics são armazenadas no local especificado. Essas consultas incluem as consultas recentes que são salvas automaticamente após a execução e as salvas por membros do projeto do Google Cloud.

• Você configura um local de armazenamento padrão para uma organização e um local de armazenamento padrão para cada pasta nessa organização. Para novos projetos em uma pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da pasta. Para projetos que não estão em uma pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da organização.

• Você configura o CMEK para uma organização e, para a pasta Non-CMEK, define apenas o local de armazenamento padrão. Se você criar um projeto que não esteja na pasta Non-CMEK, os buckets _Default e _Required serão criados no mesmo local que a chave do Cloud Key Management Service, e esses buckets de registro serão criptografados por essa chave. No entanto, se você criar um novo projeto na pasta Non-CMEK, os buckets de registro serão criados nos locais especificados pela configuração da pasta, e esses buckets de registro não serão criptografados pelo CMEK.

• Você configura um filtro de exclusão que se aplica a novos coletores _Default no nível da organização. O filtro impede que os registros de auditoria de acesso a dados sejam encaminhados pelo coletor _Default em todos os recursos filhos, o que impede que os registros de auditoria de acesso a dados sejam armazenados no bucket _Default.

Antes de começar

Este documento não contém informações sobre como configurar a CMEK como a configuração padrão para o registro. Para informações sobre esse tópico, consulte Configurar a CMEK para a geração de registros.

Para começar a configurar as configurações padrão para a geração de registros, faça o seguinte:

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Verifique se a função do Identity and Access Management na organização ou pasta com as configurações padrão que você quer configurar inclui a permissão do Cloud Logging:

   • logging.settings.get
   • logging.settings.update

3. Identifique o local em que você quer armazenar os registros e as consultas. Para conferir uma lista dos locais de armazenamento aceitos, consulte Regiões com suporte.

Conferir as configurações padrão de registro

Para conferir as configurações padrão de registro, incluindo o local de armazenamento padrão, use o comando gcloud logging settings describe:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

O comando anterior retorna informações sobre as configurações padrão. Por exemplo, as configurações padrão de uma organização específica são mostradas abaixo:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345 ou service-12345@.... Se não for possível usar a Google Cloud CLI, execute o método getSettings da API Cloud Logging.

Definir o local de armazenamento padrão

Os buckets de registro são os contêineres nos projetos, contas de faturamento, pastas e organizações do Google Cloud que armazenam e organizam os dados de registro. Para cada projeto do Google Cloud, conta de faturamento, pasta e organização, o Logging cria automaticamente dois buckets de registro: _Required e _Default, que são armazenados automaticamente no local global.

Ao definir o local de armazenamento padrão para uma organização ou pasta, especifique onde novos buckets de registro _Required e _Default são criados e onde as consultas executadas nas páginas Explorador de registros e Análise de registros são armazenadas. Definir o local de armazenamento padrão não afeta o local dos buckets de registro existentes. Da mesma forma, para consultas que foram salvas, o local de armazenamento não é alterado.

Depois de configurar o local de armazenamento padrão para uma organização ou uma pasta, o seguinte acontece:

• Para novos recursos filhos criados na organização ou pasta, os buckets _Required e _Default herdam o local de armazenamento padrão.

• As novas consultas executadas nas páginas Explorador de registros ou Análise de registros são salvas no local de armazenamento padrão. Esse local também se aplica a consultas recentes que são salvas automaticamente.

O local de armazenamento padrão do Cloud Logging não se aplica a buckets de registro definidos pelo usuário ou a consultas salvas usando a API Logging.

Configurar as políticas da organização

O registro de acessos oferece suporte a políticas da organização que podem restringir onde os dados podem ser armazenados. Se essa política existir para sua organização, só será possível criar buckets de registro em locais permitidos pela política.

Quando uma política da organização que especifica uma restrição de local existe, os valores da política para a restrição precisam incluir o local especificado nas configurações padrão do Logging. Além disso, se você planeja modificar as configurações padrão, antes de atualizar as configurações padrão, revise e, se necessário, atualize as políticas da organização.

Para conferir ou atualizar as políticas da organização, faça o seguinte:

1. No console do Google Cloud, acesse a página Políticas da organização:

   Acesse Políticas da organização

   Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.

2. Selecione a organização.

3. Confira e, se necessário, atualize a restrição com o ID constraints/gcp.resourceLocations. Se essa restrição não estiver configurada, não será necessário fazer uma atualização.

   Para saber como visualizar e editar restrições específicas, consulte Criar e editar políticas.

Configurar o local de armazenamento padrão para a geração de registros

Para configurar o local de armazenamento padrão do Cloud Logging, execute o comando gcloud logging settings update e inclua a flag --storage-location:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Se não for possível usar a Google Cloud CLI, execute o método updateSettings da API Cloud Logging.

Para mais informações sobre como resolver erros ao atualizar o local de armazenamento padrão, consulte Solução de problemas ao definir o local de recurso padrão.

Configurar o coletor _Default

O Logging fornece um coletor _Default predefinido para cada projeto, conta de faturamento, pasta e recurso de organização do Google Cloud. Qualquer registro gerado no recurso que corresponde ao filtro de inclusão e que não é excluído é roteado para o bucket _Default predefinido e nomeado correspondente do recurso.

É possível configurar as configurações padrão do sink _Default para sua organização e pastas com as seguintes opções:

• É possível desativar a criação de um coletor _Default para novos recursos filhos.

• É possível configurar um filtro de inclusão ou vários filtros de exclusão que se aplicam aos coletores _Default de novos projetos.

Desativar o coletor _Default

É possível desativar os coletores _Default para todos os novos recursos em uma organização ou pasta. A desativação dos coletores _Default impede que os registros sejam armazenados no bucket _Default do recurso. Se você parar de armazenar registros em um bucket _Default de um recurso, os registros que teriam sido roteados para esse bucket serão excluídos do armazenamento no Logging, a menos que sejam explicitamente incluídos em outro destino definido pelo usuário para esse recurso.

Para desativar os coletores _Default de um recurso e de qualquer um dos recursos filhosos, execute o seguinte comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

A flag disable-default-sink se aplica apenas ao coletor _Default que encaminha registros para o bucket _Default.

É possível reativar os coletores _Default executando o seguinte comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configurar o filtro padrão de coletores _Default

O coletor _Default predefinido encaminha todas as entradas de registro que correspondem aos critérios para o bucket _Default correspondente. É possível enviar um comando da API Cloud Logging para substituir o filtro de inclusão integrado no coletor _Default ou anexar um filtro. O filtro de exclusão integrado para o coletor _Default está vazio. No entanto, o comando da API também permite adicionar filtros de exclusão.

Para especificar um filtro de inclusão ou de exclusão aplicado a todos os coletores _Default de novos recursos em uma organização ou pasta, execute o método updateSettings da API Cloud Logging e especifique o objeto defaultSinkConfig.

É possível executar o método updateSettings usando o widget APIs Explorer na página de referência do método. O exemplo a seguir ilustra os parâmetros de exemplo:

• nome (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Corpo da solicitação, que contém uma instância de Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

O filtro de inclusão integrado para o sink _Default inclui a instrução AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que impede que os registros de auditoria de atividade do administrador sejam roteados para o bucket de registros _Default. No exemplo anterior, o filtro de inclusão é alterado para que os registros de auditoria da atividade do administrador sejam roteados para o bucket de registros _Default. O exemplo também adiciona um filtro de exclusão que impede que os registros de auditoria de acesso a dados sejam roteados para o bucket _Default. No exemplo anterior, o filtro de exclusão é chamado exclude-data-access.

Resolver problemas de configuração

Para informações sobre a solução de problemas, consulte Resolver problemas com o CMEK e erros de configuração padrão.