En este documento, se describe cómo establecer la configuración de recursos predeterminada de Logging mediante Google Cloud CLI. La configuración de recursos predeterminada, que se puede aplicar a una organización o a una carpeta, puede determinar lo siguiente:
Si se requieren CMEK para buckets de registros nuevos.
La ubicación de almacenamiento de los buckets de registros
_Default
y_Required
.Si el receptor
_Default
está habilitado o inhabilitadoEl filtro que se aplica al receptor
_Default
de los recursos nuevos.
Descripción general
El recurso de organización se encuentra en el nivel más alto de la jerarquía de recursos de Google Cloud. El recurso de organización es el superior de estos recursos secundarios: proyectos, carpetas, cuentas de facturación de Google Cloud y, en relación con Logging, buckets.
Puedes configurar Logging para que use la configuración de recursos predeterminada de una organización de Google Cloud y de carpetas. Cuando creas recursos nuevos, estos heredan la configuración de recursos predeterminada de su superior.
Cloud Logging admite la siguiente configuración de recursos predeterminada:
Define si los buckets de registros nuevos en un recurso deben encriptarse o no con una clave administrada por el cliente y, si es así, con la clave predeterminada de Cloud KMS que se usará en la encriptación.
Si configuras CMEK para un recurso, también debes establecer la ubicación de almacenamiento predeterminada para los nuevos buckets de
_Default
y_Required
que crean los recursos secundarios.La ubicación de almacenamiento para los buckets
_Default
y_Required
nuevos Esta ubicación de almacenamiento te permite controlar dónde se almacenan tus registros.Si configuras una ubicación de almacenamiento predeterminada para un recurso y no configuras CMEK para ese recurso, los buckets de registros nuevos del recurso no necesitarán CMEK.
Si el receptor de registros de
_Default
está habilitado o inhabilitado para proyectos nuevos en el recursoLos filtros de inclusión o de exclusión que se aplican a todos los receptores
_Default
nuevos en los recursos secundarios.
Ejemplos de configuración:
Si configuras una ubicación de almacenamiento predeterminada para una organización, Para los proyectos nuevos de la organización, los buckets de
_Default
y_Required
se crean en la ubicación especificada.Debes configurar una ubicación de almacenamiento predeterminada para una organización y una ubicación de almacenamiento predeterminada para cada carpeta de esa organización. Para los proyectos nuevos que están en una carpeta, los buckets
_Default
y_Required
se crean en la ubicación que especifica la configuración de la carpeta. Para los proyectos que no están en una carpeta, los buckets_Default
y_Required
se crean en la ubicación que se especifica en la configuración de la organización.Configuras las CMEK para una organización y, en la carpeta llamada
Non-CMEK
, solo estableces la ubicación de almacenamiento predeterminada. Si creas un proyecto que no está en la carpeta llamadaNon-CMEK
, los buckets de_Default
y_Required
se crean en la misma ubicación que la clave de Cloud Key Management Service, y esos buckets de registros se encriptan con esa clave. Sin embargo, si creas un proyecto nuevo en la carpeta llamadoNon-CMEK
, sus buckets de registros se crean en las ubicaciones especificadas por la configuración de esa carpeta, y esos buckets de registros no se encriptan con CMEK.Configura un filtro de exclusión que se aplique a los receptores
_Default
nuevos a nivel de la organización. El filtro excluye que los registros de auditoría de acceso a los datos se enruten a través del receptor_Default
en todos los recursos secundarios, lo que evita que los registros de auditoría de acceso a los datos se almacenen en el bucket_Default
.
Antes de comenzar
En este documento, no se contiene información sobre cómo configurar CMEK como un parámetro de configuración de recursos predeterminado para Logging. Si deseas obtener información sobre ese tema, consulta Configura CMEK para Logging.
Para comenzar a establecer la configuración predeterminada de los recursos de Logging, haz lo siguiente:
Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
gcloud init
Asegúrate de tener los siguientes permisos de Cloud Logging para la organización:
logging.settings.get
logging.settings.update
Comprende los requisitos de formato de
LogBucket
, incluidas las ubicaciones admitidas en las que puedes almacenar tus registros. A fin de obtener una lista de las ubicaciones de almacenamiento admitidas para los buckets de registros, consulta Regiones de datos: Regiones admitidas.Busca los identificadores de la organización o la carpeta para la que deseas establecer la configuración predeterminada de los recursos:
- ORGANIZATION_ID es el identificador numérico único de la organización de Google Cloud. No necesitas este valor si solo planeas establecer una configuración de recursos predeterminada para una carpeta. Para obtener más información sobre cómo obtener este identificador, consulta Cómo obtener el ID de la organización.
- FOLDER_ID es el identificador numérico único de la carpeta de Google Cloud. No necesitas este valor si solo planeas establecer una configuración de recursos predeterminada para una organización. Para obtener información sobre el uso de carpetas, consulta Crea y administra carpetas.
- LOCATION es la ubicación en la que deseas almacenar los datos de registro.
Consulta la configuración de recursos predeterminada de Logging
Para ver la configuración de recursos predeterminada de Logging, incluida la ubicación de almacenamiento predeterminada, usa el comando gcloud logging settings describe
:
CARPETA
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZACIÓN
gcloud logging settings describe --organization=ORGANIZATION_ID
El comando anterior muestra información sobre la configuración predeterminada de los recursos. Por ejemplo, a continuación se muestra la configuración de recursos predeterminada para una organización en particular:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
El valor de SERVICE_ACCT_NAME puede tener el formato cmek-12345
o service-12345@...
. Si no puedes usar Google Cloud CLI, ejecuta el
método de la API de Cloud Logging getSettings
.
Cómo establecer la ubicación de almacenamiento predeterminada
Los buckets de registros son los contenedores de tus proyectos de Google Cloud, cuentas de facturación, carpetas y organizaciones que almacenan y organizan tus datos de registro. Para cada proyecto, cuenta de facturación, carpeta y organización de Google Cloud, Logging crea de forma automática dos buckets de registro: _Required
y _Default
, que se almacenan de forma automática en una ubicación global
no especificada.
Puedes especificar una ubicación de almacenamiento para los buckets _Required
y _Default
que contiene una organización o una carpeta si modificas la configuración de recursos predeterminada de Logging.
Para obtener una lista de las ubicaciones de almacenamiento admitidas, consulta Regiones admitidas.
Después de configurar la ubicación de almacenamiento predeterminada para una organización, sucede lo siguiente:
Los buckets existentes
_Required
y_Default
en esa organización o carpeta mantienen la ubicación de almacenamiento que se les asignó en el momento de su creación.En el caso de los recursos secundarios creados en la organización o en la carpeta después de configurar la ubicación de almacenamiento predeterminada, sus buckets de
_Required
y_Default
heredan la ubicación de almacenamiento predeterminada.
La ubicación de almacenamiento predeterminada para Cloud Logging se aplica solo a los buckets de registros _Default
y _Required
. No se aplica a los buckets de registros definidos por el usuario.
Configura las políticas de la organización
Logging admite políticas de la organización que pueden restringir dónde se pueden almacenar los datos. Si esta política existe para tu organización, solo puedes crear buckets de registros en ubicaciones que la política permita.
Cuando existe una política de la organización que especifica una restricción de ubicación, los valores de la política para la restricción deben incluir la ubicación especificada en la configuración de recursos predeterminada para Logging. Además, si planeas modificar la configuración de recursos predeterminada, revisa y, si es necesario, actualiza las políticas de la organización antes de actualizarla.
Para ver o actualizar las políticas de la organización, haz lo siguiente:
-
En el panel de navegación de la consola de Google Cloud, selecciona IAM y administración y, luego, Políticas de la organización:
Selecciona tu organización.
Observa y, si es necesario, actualiza la restricción con el ID
constraints/gcp.resourceLocations
. Si no se configura esta restricción, no se requiere una actualización.Para obtener información sobre cómo ver restricciones específicas y cómo editarlas, consulta Crea y edita políticas.
Configura la ubicación de almacenamiento predeterminada para Logging
Para configurar la ubicación de almacenamiento predeterminada para Cloud Logging, ejecuta el comando gcloud logging settings update
y agrega la marca --storage-location
:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Si no puedes usar Google Cloud CLI, ejecuta el
método de la API de Cloud Logging updateSettings
.
Si quieres obtener información para resolver errores cuando actualices la ubicación de almacenamiento predeterminada, consulta Soluciona problemas relacionados con la configuración de la ubicación predeterminada de los recursos.
Configura el receptor _Default
Logging proporciona un receptor _Default
predefinido para cada proyecto de Google Cloud, cuenta de facturación, carpeta y recurso de organización. Cualquier registro que se genere en el recurso que coincida con el filtro de inclusión y que no esté excluido se enrutará al bucket predefinido del recurso, que corresponde al nombre _Default
.
Puedes definir la configuración de recursos predeterminada para el receptor _Default
en tu organización y carpetas con las siguientes opciones:
Puedes inhabilitar el receptor
_Default
para todos los recursos secundarios.Puedes configurar un filtro de inclusión o varios filtros de exclusión que se aplican a los receptores
_Default
de proyectos nuevos.
Inhabilita el receptor _Default
Puedes inhabilitar la creación de receptores _Default
para todos los recursos nuevos de una organización o carpeta. Si inhabilitas los receptores de _Default
, los registros no se almacenarán en el bucket _Default
del recurso.
Si dejas de almacenar registros en el bucket _Default
de un recurso, los registros que se habrían enrutado a ese bucket se excluirán del almacenamiento en Logging, a menos que se incluyan de forma explícita en otro receptor definido por el usuario para ese recurso.
Para inhabilitar los receptores de _Default
de un recurso y cualquiera de sus recursos secundarios, ejecuta el siguiente comando de gcloud logging settings update
:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
La marca disable-default-sink
solo se aplica al receptor _Default
que enruta los registros al bucket _Default
.
Puedes volver a habilitar los receptores de _Default
si ejecutas el siguiente comando de gcloud logging settings update
:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configura el filtro predeterminado de _Default
de receptores
El receptor _Default
predefinido enruta los registros que coinciden con los criterios del receptor al bucket _Default
correspondiente. Puedes usar filtros de inclusión y filtros de exclusión a fin de configurar qué registros se incluyen y se excluyen para los receptores de _Default
nuevos en una organización o carpeta.
El filtro de inclusión puede anular o agregarse al filtro del receptor _Default
, y los filtros de exclusión se agregan porque el receptor _Default
no tiene filtros de exclusión de forma predeterminada.
Para especificar un filtro de inclusión o de exclusión que se aplique a todos los receptores _Default
de los recursos nuevos de una organización o carpeta, ejecuta el método updateSettings
de la API de Cloud Logging con el objeto defaultSinkConfig
. Solo puedes configurar el filtro predeterminado de los receptores _Default
mediante la API de Logging.
Puedes ejecutar el método updateSettings
con el widget del Explorador de API en la página de referencia del método. En el siguiente ejemplo, se muestran los parámetros de muestra:
- Nombre (URL):
organizations/ORGANIZATION_ID/settings
- updateMask:
"default_sink_config"
Cuerpo de la solicitud, que contiene una instancia de
Settings
:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
En el ejemplo anterior, se hace lo siguiente:
Reemplaza el filtro de inclusión del receptor
_Default
para incluir los registros de auditoría de actividad del administrador, que se excluyen de forma predeterminada.Agrega un filtro de exclusión que evita que los registros de auditoría de acceso a los datos se enruten al bucket
_Default
.
Soluciona problemas de errores de configuración
Para obtener información sobre la solución de problemas, consulta Soluciona problemas de CMEK y errores de configuración predeterminada.