Definir configurações padrão para organizações e pastas

Este documento descreve como configurar as configurações padrão de geração de registros usando a CLI do Google Cloud. As configurações padrão, que podem ser aplicadas a uma organização ou a uma pasta, podem determinar o seguinte:

• Se uma chave de criptografia gerenciada pelo cliente (CMEK) é necessária para novos buckets de registro.

• O local de armazenamento dos novos Buckets _Default e _Required, e para consultas executadas nas páginas Análise de registros ou Análise de registros.

• Se o coletor _Default está ativado ou desativado.

• O filtro aplicado ao coletor _Default de novos recursos.

Visão geral

O recurso da organização está no nível mais alto da hierarquia de recursos do Google Cloud. O recurso da organização é o pai destes recursos filhos: projetos, pastas, contas de faturamento do Google Cloud e, Logging, buckets de registros.

É possível configurar o Logging para usar as configurações padrão uma organização do Google Cloud e para pastas. Quando você cria novos recursos, eles herdam as configurações padrão do recurso pai.

O Cloud Logging é compatível com as seguintes configurações padrão:

• Define se os novos buckets de registro em um recurso precisam ser criptografados com uma chave gerenciada pelo cliente e, se sim, a chave padrão do Cloud KMS a ser usada para criptografia.

• O local de armazenamento de novos buckets de registro _Default e _Required criados por recursos filhos, e para consultas salvas pelas páginas Explorador de registros ou Análise de dados de registro. Ao definir o local de armazenamento, é possível controlar onde seus registros são armazenados.

  Se você definir um local de armazenamento padrão para um recurso e não configurar o CMK para ele, os novos buckets de registro no recurso não vão exigir o CMK.

• Se o sink de registro _Default está ativado ou desativado para novos projetos no recurso.

• Os filtros de inclusão ou de exclusão que são aplicados a todas as novas Coletores _Default nos recursos filhos.

Exemplos de configurações:

• Você configura um local de armazenamento padrão para uma organização. Para novos projetos na organização, os buckets de registro _Default e _Required são criados no local especificado. Além disso, as consultas salvas pelas páginas Análise de registros ou Análise de registros são no local especificado. Essas consultas incluem as consultas recentes que são salvas automaticamente após serem executadas, e as consultas salvas pelos membros do projeto do Google Cloud.

• Você configura um local de armazenamento padrão para uma organização e um local de armazenamento padrão para cada pasta nessa organização. Para novos projetos em uma pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da pasta. Para projetos que não estejam em uma pasta, os buckets _Default e _Required são criadas no local especificado pelas configurações da organização.

• Você configura o CMEK para uma organização e, para a pasta Non-CMEK, define apenas o local de armazenamento padrão. Se você criar um projeto que não esteja na pasta Non-CMEK, Os buckets _Default e _Required são criados no mesmo local que o do Cloud Key Management Service e esses buckets de registro são criptografados por essa chave. No entanto, se você criar um novo projeto na pasta Non-CMEK, os buckets de registro serão criados nos locais especificados pela configuração da pasta, e esses buckets de registro não serão criptografados pelo CMEK.

• Você configura um filtro de exclusão que se aplica a novos coletores _Default no nível da organização. O filtro impede que os registros de auditoria de acesso a dados sejam roteadas pelo coletor _Default em todos os recursos filhos, o que impede os registros de auditoria de acesso a dados sejam armazenados no bucket _Default.

Antes de começar

Este documento não contém informações sobre como configurar a CMEK como uma configuração padrão para o registro. Para informações sobre esse tópico, consulte Configurar o CMEK para geração de registros.

Para começar a configurar as configurações padrão para a geração de registros, faça o seguinte:

1. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

2. Verifique se a função do Identity and Access Management na organização ou pasta com as configurações padrão que você quer configurar inclui a permissão do Cloud Logging:

   • logging.settings.get
   • logging.settings.update

3. Identifique o local onde você quer armazenar seus registros e consultas. Para conferir uma lista dos locais de armazenamento aceitos, consulte Regionalidade de dados: regiões compatíveis.

Ver as configurações padrão do Logging

Para conferir as configurações padrão de registro, incluindo o local de armazenamento padrão, use o comando gcloud logging settings describe:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

O comando anterior retorna informações sobre as configurações padrão. Por exemplo, a imagem a seguir mostra as configurações padrão organização específica:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345 ou service-12345@.... Se não for possível usar a Google Cloud CLI, execute o Método getSettings da API Cloud Logging.

Definir o local de armazenamento padrão

Os buckets de registro são os contêineres nos projetos, contas de faturamento, pastas e organizações do Google Cloud que armazenam e organizam os dados de registro. Para cada projeto do Google Cloud, conta de faturamento, pasta e organização, o Logging cria automaticamente dois buckets de registro: _Required e _Default, que são armazenados automaticamente no local global.

Quando você define o local de armazenamento padrão de uma organização ou pasta, Você especifica onde os novos buckets de registro _Required e _Default são criados e onde as consultas executadas na Análise de registros e na Análise de registros as páginas são armazenadas. Definir o local de armazenamento padrão não afeta o local dos buckets de registro existentes. Da mesma forma, para consultas que foram salvas, o local de armazenamento não é alterado.

Depois que você configurar o local de armazenamento padrão de uma organização ou uma pasta, acontece o seguinte:

• Para novos recursos filhos criados na organização ou pasta, os buckets _Required e _Default herdam o local de armazenamento padrão.

• As novas consultas executadas nas páginas Explorador de registros ou Análise de registros são salvas no local de armazenamento padrão. Esse local também se aplica a consultas recentes salvas automaticamente.

O local de armazenamento padrão do Cloud Logging não se aplica a buckets de registro definidos pelo usuário ou a consultas salvas usando a API Logging.

Configurar as políticas da organização

O Logging oferece suporte às políticas da organização restringir onde os dados podem ser armazenados. Se essa política existir para sua organização, só será possível criar buckets de registro em locais permitidos pela política.

Quando uma política da organização que especifica uma restrição de local existe, os valores da política para a restrição precisam incluir o local especificado nas configurações padrão do Logging. Além disso, se você planeja modificar as configurações padrão, atualizar as configurações padrão, revisar e, se necessário, atualizar as políticas da organização.

Para ver ou atualizar as políticas da organização, faça o seguinte:

1. No console do Google Cloud, acesse a página Políticas da organização:

   Acesse Políticas da organização

   Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.

2. Selecione a organização.

3. Confira e, se necessário, atualize a restrição com o ID constraints/gcp.resourceLocations. Se essa restrição não estiver configurada, não será necessário fazer uma atualização.

   Para mais informações sobre como visualizar restrições específicas e como editar essas restrições, consulte Como criar e editar políticas.

Configurar o local de armazenamento padrão do Logging

Para configurar o local de armazenamento padrão do Cloud Logging, execute o gcloud logging settings update e inclua a sinalização --storage-location:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Se não for possível usar a Google Cloud CLI, execute o Método updateSettings da API Cloud Logging.

Para mais informações sobre como resolver erros ao atualizar o local de armazenamento padrão, consulte Solução de problemas ao definir o local de recurso padrão.

Configurar o coletor _Default

O Logging fornece um coletor _Default predefinido para cada projeto, conta de faturamento, pasta e recurso de organização do Google Cloud. Qualquer registro gerado no recurso que corresponde ao filtro de inclusão e que não é excluído é roteado para o bucket _Default predefinido e nomeado correspondente do recurso.

É possível definir as configurações padrão do coletor _Default do seu organização e pastas com as seguintes opções:

• É possível desativar a criação de um coletor _Default para novos recursos filhos.

• Você pode configurar um ou vários filtros de inclusão que se aplicam aos coletores _Default dos novos projetos.

Desativar o coletor _Default

É possível desativar os coletores _Default para todos os novos recursos em uma organização ou pasta. A desativação dos coletores _Default impede que os registros sejam armazenados no bucket _Default do recurso. Se você parar de armazenar registros em um bucket _Default do recurso, os registros que teriam sido roteados para ele do bucket são excluídos do armazenamento no Logging, a menos que esses registros são explicitamente incluídos em outro coletor definido pelo usuário para esse recurso.

Para desativar os coletores _Default de um recurso e de qualquer um dos recursos filhosos, execute o seguinte comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

A flag disable-default-sink se aplica apenas ao coletor _Default que encaminha registros para o bucket _Default.

Para reativar os coletores _Default, execute o seguinte comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configurar o filtro padrão de _Default coletores

O coletor _Default predefinido roteia as entradas de registro que correspondem ao coletor critérios para o bucket _Default correspondente. Você pode enviar um o comando da API Cloud Logging para substituir o filtro de inclusão no coletor _Default ou anexar um filtro. O filtro de exclusão integrado para o coletor _Default está vazio. No entanto, o comando da API também permite adicionar filtros de exclusão.

Para especificar um filtro de inclusão ou de exclusão que seja aplicado a todas _Default coletores de novos recursos em uma organização ou pasta, execute o método updateSettings da API Cloud Logging e especifique o objeto defaultSinkConfig.

É possível executar o método updateSettings usando o widget do APIs Explorer na página de referência do método. O exemplo a seguir ilustra parâmetros de exemplo:

• nome (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Corpo da solicitação, que contém uma instância de Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

O filtro de inclusão integrado do coletor _Default inclui o AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que impede que os registros de auditoria de atividades do administrador sejam roteados para o Bucket de registros _Default. No exemplo anterior, o filtro de inclusão é alterado para que os registros de auditoria da atividade do administrador sejam roteados para o bucket de registro _Default. O exemplo também adiciona um filtro de exclusão que impede que os registros de auditoria de acesso a dados sejam roteada para o bucket _Default.

Resolver problemas de configuração

Para informações sobre solução de problemas, consulte Resolver erros de CMEK e configuração padrão.