Configurer les paramètres par défaut des organisations et des dossiers

Ce document explique comment configurer les paramètres par défaut de Journalisation à l'aide de Google Cloud CLI Paramètres par défaut pouvant être appliqués à une organisation ou dans un dossier, peuvent déterminer:

• Si une clé de chiffrement gérée par le client (CMEK) est requise pour de nouveaux buckets de journaux.

• Emplacement de stockage des nouveaux buckets _Default et _Required, ainsi que des requêtes exécutées sur les pages Explorateur de journaux ou Analyse de journaux.

• Indique si le récepteur _Default est activé ou désactivé.

• Filtre appliqué au collecteur _Default des nouvelles ressources.

Présentation

La ressource Organisation se trouve au niveau le plus élevé du Hiérarchie des ressources Google Cloud. La ressource Organisation est le parent de ces ressources enfants: les projets, dossiers et comptes de facturation Google Cloud, Logging, buckets de journaux.

Vous pouvez configurer Logging afin d'utiliser les paramètres par défaut dans une organisation Google Cloud et pour les dossiers. Lorsque vous créez des ressources, elles héritent des paramètres par défaut de leur parent.

Cloud Logging est compatible avec les paramètres par défaut suivants:

• Indique si les nouveaux buckets de journaux d'une ressource doivent être chiffrés ou non une clé gérée par le client et, le cas échéant, la clé Cloud KMS par défaut pour le chiffrement.

• L'emplacement de stockage des nouvelles Buckets de journaux _Default et _Required créés par des ressources enfants, et pour les requêtes enregistrées par les pages Explorateur de journaux ou Analyse de journaux. En définissant l'emplacement de stockage, vous pouvez contrôler l'emplacement de stockage de vos journaux.

  Si vous définissez un emplacement de stockage par défaut pour une ressource et que vous ne configurez pas CMEK pour cette ressource, les nouveaux buckets de journaux de la ressource n'ont pas besoin CMEK.

• Indique si le récepteur de journaux _Default est activée ou désactivée pour les nouveaux projets de la ressource.

• Les filtres d'inclusion ou d'exclusion appliqués à toutes les nouvelles Récepteurs _Default dans les ressources enfants.

Exemples de configurations:

• Vous configurez un emplacement de stockage par défaut pour une organisation. Pour les nouveaux projets de l'organisation, les buckets de journaux _Default et _Required sont créés à l'emplacement spécifié. De plus, les requêtes enregistrées par les pages de l'explorateur de journaux ou de l'Analyse de journaux sont stockées à l'emplacement spécifié. Ces requêtes incluent les requêtes récentes automatiquement enregistrées après leur exécution, et les requêtes enregistrées par les membres projet Google Cloud.

• Vous configurez un emplacement de stockage par défaut pour une organisation configurer un emplacement de stockage par défaut pour chaque dossier de cette organisation. Pour les nouveaux projets situés dans un dossier, les buckets _Default et _Required sont créés à l'emplacement spécifié par les paramètres du dossier. Pour les projets qui ne se trouvent pas dans un dossier, leurs buckets _Default et _Required sont créés dans l'emplacement spécifié par les paramètres de l'organisation.

• Vous configurez une clé CMEK pour une organisation et pour le dossier nommé Non-CMEK vous ne définissez que l'emplacement de stockage par défaut. Si vous créez un projet qui ne se trouve pas dans le dossier Non-CMEK, Les buckets _Default et _Required sont créés au même emplacement que Cloud Key Management Service, et ces buckets de journaux sont chiffrés par cette clé. Toutefois, si vous créez un projet dans le dossier Non-CMEK, leurs buckets de journaux sont créés dans les emplacements spécifiés par le fichier et ces buckets de journaux ne sont pas chiffrés par une clé CMEK.

• Vous configurez un filtre d'exclusion qui s'applique aux nouveaux récepteurs _Default au niveau au niveau de l'organisation. Le filtre empêche les journaux d'audit des accès aux données acheminé via le récepteur _Default dans toutes les ressources enfants, ce qui empêche les journaux d'audit des accès aux données ne soient pas stockés dans le bucket _Default.

Avant de commencer

Ce document ne contient pas d'informations sur la configuration d'une clé CMEK en tant que est le paramètre par défaut de Logging. Pour en savoir plus sur ce sujet, consultez Configurez CMEK pour Logging.

Pour commencer à configurer les paramètres par défaut pour Logging, procédez comme suit:

1. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

2. Assurez-vous que votre rôle Identity and Access Management (IAM) pour l'organisation ou le dossier dont les paramètres par défaut à configurer incluent l'autorisation Cloud Logging suivante:

   • logging.settings.get
   • logging.settings.update

3. Identifiez l'emplacement de stockage de vos journaux et de vos requêtes. Pour obtenir la liste des emplacements de stockage acceptés, consultez Régionalité des données: régions compatibles.

Afficher les paramètres par défaut de Logging

Pour afficher les paramètres par défaut de Logging, y compris l'emplacement de stockage par défaut, utilisez gcloud logging settings describe :

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

La commande précédente renvoie des informations sur les paramètres par défaut. Par exemple, voici les paramètres par défaut d'une entreprise spécifique:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

La valeur de SERVICE_ACCT_NAME peut être au format cmek-12345 ou service-12345@... Si vous ne pouvez pas utiliser la Google Cloud CLI, exécutez la Méthode getSettings de l'API Cloud Logging

Définir l'emplacement de stockage par défaut

Les buckets de journaux sont les conteneurs Les projets, comptes de facturation, dossiers et organisations Google Cloud qui stockent et organiser les données de journaux. Pour chaque projet Google Cloud, compte de facturation, d'un dossier et d'une organisation, Logging crée automatiquement des buckets _Required et _Default, qui sont automatiquement stockés l'emplacement global.

Lorsque vous définissez l'emplacement de stockage par défaut pour une organisation ou un dossier, vous spécifiez l'emplacement de création des buckets de journaux _Required et _Default. et l'emplacement des requêtes que vous exécutez dans l'explorateur de journaux et l'Analyse de journaux pages sont stockées. Le fait de définir l'emplacement de stockage par défaut n'a aucune incidence l'emplacement des buckets de journaux existants. De même, pour les requêtes qui ont été enregistré, son emplacement de stockage n'est pas modifié.

Une fois que vous avez configuré l'emplacement de stockage par défaut pour une organisation ou un dossier, les événements suivants se produisent :

• Pour les nouvelles ressources enfants créées dans l'organisation ou le dossier, leurs buckets _Required et _Default héritent de l'emplacement de stockage par défaut.

• Les nouvelles requêtes que vous exécutez dans les pages Explorateur de journaux ou Analyse de journaux sont enregistrés dans l'emplacement de stockage par défaut. Ce lieu s'applique également aux requêtes récentes qui sont enregistrées automatiquement.

L'emplacement de stockage par défaut de Cloud Logging ne s'applique pas aux buckets de journaux définis par l'utilisateur ni aux requêtes enregistrées à l'aide de l'API Logging.

Configurer les règles d'administration

La journalisation est compatible avec les règles d'administration qui peuvent restreindre les emplacements où les données peuvent être stockées. Si une telle règle existe pour votre organisation, vous ne pouvez créer des buckets de journaux dans les emplacements autorisés par la règle.

Lorsqu'une règle d'administration spécifiant une contrainte d'emplacement existe, les valeurs de règle de la contrainte doivent inclure l'emplacement spécifié dans les paramètres par défaut de Logging. De plus, si vous prévoyez de modifier vos paramètres par défaut, modifiez les paramètres par défaut, vérifiez et, si nécessaire, mettez-les à jour les règles d'administration.

Pour afficher ou mettre à jour les règles d'administration, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page Règles d'administration:

   Accéder à la page Règles d'administration

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est IAM et administration.

2. Sélectionnez votre organisation.

3. Afficher et, si nécessaire, mettre à jour la contrainte avec l'ID constraints/gcp.resourceLocations Si cette contrainte n'est pas configurée, alors une mise à jour n'est pas nécessaire.

   Pour savoir comment afficher des contraintes spécifiques et les modifier ces contraintes, consultez Créer et modifier des règles

Configurer l'emplacement de stockage par défaut pour Logging

Pour configurer l'emplacement de stockage par défaut de Cloud Logging, exécutez la commande gcloud logging settings update et incluez l'option --storage-location:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Si vous ne pouvez pas utiliser la Google Cloud CLI, exécutez la Méthode updateSettings de l'API Cloud Logging

En savoir plus sur la résolution des erreurs lors de la mise à jour de l'espace de stockage par défaut position, consultez Résoudre les problèmes liés à la définition de l'emplacement par défaut des ressources

Configurer le récepteur _Default

Logging fournit un ensemble de données Récepteur _Default pour chaque un projet, un compte de facturation, un dossier et une ressource d'organisation Google Cloud. N'importe quelle valeur journal généré dans la ressource correspondant au filtre d'inclusion et qui n'est pas exclue, est acheminée vers le tableau de bord nommé _Default.

Vous pouvez configurer les paramètres par défaut du récepteur _Default pour votre organisation et dossiers avec les options suivantes:

• Vous pouvez désactiver la création d'un récepteur _Default pour les nouvelles ressources enfants.

• Vous pouvez configurer un filtre d'inclusion ou plusieurs filtres d'exclusion qui s'appliquent vers les récepteurs _Default des nouveaux projets.

Désactiver le récepteur _Default

Vous pouvez désactiver les récepteurs _Default pour toutes les nouvelles ressources dans une organisation ou un dossier ; la désactivation du récepteur _Default empêche les journaux d'être stockés dans le bucket _Default de la ressource. Si vous cessez de stocker des journaux bucket _Default de la ressource, les journaux qui auraient été acheminés vers ce bucket sont exclus du stockage dans Logging, sauf si ces journaux sont explicitement inclus dans un autre récepteur défini par l'utilisateur pour cette ressource.

Pour désactiver les récepteurs _Default pour une ressource et ses enfants des ressources, exécutez la commande gcloud logging settings update :

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

L'option disable-default-sink ne s'applique qu'au récepteur _Default qui achemine les journaux dans le bucket _Default.

Vous pouvez réactiver les récepteurs _Default en exécutant la commande suivante : gcloud logging settings update :

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configurer le filtre par défaut de _Default récepteurs

Le récepteur _Default prédéfini achemine toutes les entrées de journal correspondant aux critères du récepteur vers le bucket _Default correspondant. Vous pouvez envoyer un pour ignorer la commande de l'API Cloud Logging intégrée filtre d'inclusion dans le récepteur _Default ou pour ajouter un filtre. Le filtre d'exclusion intégré du récepteur _Default est vide. Toutefois, la commande API vous permet également ajouter des filtres d'exclusion.

Pour spécifier un filtre d'inclusion ou d'exclusion appliqué à tous les récepteurs _Default de nouvelles ressources dans une organisation ou un dossier, exécutez la méthode updateSettings de l'API Cloud Logging et spécifiez l'objet defaultSinkConfig.

Vous pouvez exécuter la méthode updateSettings à l'aide de la méthode Widget APIs Explorer sur la page de référence de la méthode. La Voici des exemples de paramètres:

• name (URL) : organizations/ORGANIZATION_ID/settings
• updateMask : "default_sink_config"

• Corps de la requête, qui contient une instance de Settings :

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Le filtre d'inclusion intégré du récepteur _Default inclut le paramètre l'instruction AND NOT LOG_ID("externalaudit.googleapis.com/activity"), qui empêche les journaux d'audit des activités d'administration d'être acheminés vers Bucket de journaux _Default. Dans l'exemple précédent, le filtre d'inclusion est modifié pour que les journaux d'audit des activités d'administration soient acheminés vers _Default bucket de journaux. Exemple ajoute également un filtre d'exclusion qui empêche les journaux d'audit des accès aux données acheminé vers le bucket _Default.

Résoudre les erreurs de configuration

Pour obtenir des informations de dépannage, consultez la page Résoudre les erreurs CMEK et de paramètres par défaut.