Intercala y enruta registros a nivel de la organización y las carpetas a destinos compatibles

En este documento, se describe cómo crear datos receptores. Los receptores agregados te permiten combinar y enrutar registros que genera el Recursos de Google Cloud de tu organización o carpeta a una ubicación centralizada.

Descripción general

Los receptores agregados combinan y enrutan entradas de registro de los recursos contenidos por de una organización o carpeta a un destino.

Si quieres controlar qué entradas de registro se pueden consultar en estos recursos, o enrutado a través de los receptores de estos recursos, puedes configurar un receptor agregado para que no intercepte ni intercepte:

  • Un receptor agregado sin interceptar enruta las entradas de registro a través de receptores en el secundario de Google Cloud. Con este receptor, mantienes la visibilidad de las entradas de registro en la los recursos en los que se generaron. No se pueden ver los receptores que no interceptan a recursos secundarios.

    Por ejemplo, puedes crear un receptor agregado no interceptor que enrute Todas las entradas de registro generadas a partir de las carpetas que contiene una organización en un bucket de registros central. Las entradas de registro se almacenan bucket de registros y en los recursos en los que se encuentran que se generaron.

  • El receptor agregado de intercepción evita que se enruten las entradas de registro a través de en los recursos secundarios, excepto por los receptores _Required. Este receptor puede ser útiles para evitar que las copias duplicadas de entradas de registro se almacenen en varios lugares.

    Por ejemplo, piensa en los registros de auditoría de acceso a los datos, que pueden ser grandes en volumen y costosos de almacenar varias copias de ellas. Si has registros de auditoría de acceso a los datos habilitados, puedes crear una política receptor que enruta todos los registros de auditoría de acceso a los datos a un proyecto central para su análisis. Este receptor interceptor también evita que los receptores de recursos secundarios se enruten copias de los registros en otro lugar.

    Interceptar receptores evita que los registros pasen por el enrutador de registros del recursos secundarios, a menos que los registros también coincidan con el receptor _Required. Debido a que el se interceptan registros, los registros no cuentan para las métricas políticas de alertas basadas en registros en los recursos secundarios. Puedes ver las intercepciones en la página Enrutador de registros de los recursos secundarios.

Para obtener más información sobre cómo administrar los receptores, consulta Enruta registros a destinos compatibles: administra los receptores.

Puedes crear hasta 200 receptores por organización o carpeta.

Destinos admitidos

Puedes usar receptores agregados sin intercepción para enrutar entradas de registro dentro o entre las mismas organizaciones y carpetas a los siguientes destinos:

  • Bucket de Cloud Logging: Proporciona almacenamiento en Cloud Logging. Un bucket de registros puede almacenar entradas de registro recibidos por varios proyectos de Google Cloud. El bucket de registros puede estar en el mismo proyecto en el que se originan las entradas de registro. en un proyecto diferente. Puedes combinar tus Actualiza un bucket de registros para usar Cloud Logging con otros datos Análisis de registros y, luego, crear un conjunto de datos vinculado de BigQuery Para obtener más información sobre cómo ver las entradas de registro almacenadas en buckets de registros, consulta Descripción general de las consultas y visualizaciones de registros y Ver los registros enrutados a los buckets de Cloud Logging.
  • Conjunto de datos de BigQuery: Proporciona almacenamiento de entradas de registro en conjuntos de datos de BigQuery. El conjunto de datos de BigQuery puede estar en el mismo proyecto en el que las entradas de registro se originan o en un proyecto diferente. Puedes usar las capacidades de análisis de macrodatos en las entradas de registro almacenadas. Para combinar tus datos de Cloud Logging con otros fuentes de datos, te recomendamos que actualices tus buckets de registros Análisis de registros y, luego, crear un conjunto de datos de BigQuery vinculado. Para obtener información sobre cómo ver las entradas de registro enrutadas a BigQuery, consulta Visualiza los registros enrutados a BigQuery.
  • Bucket de Cloud Storage: Proporciona almacenamiento de entradas de registro en Cloud Storage. El bucket de Cloud Storage puede estar en el mismo proyecto en el que las entradas de registro se originan o en un proyecto diferente. Las entradas de registro se almacenan como archivos JSON. Para obtener información sobre cómo ver las entradas de registro enrutadas a Cloud Storage, consulta Visualiza los registros enrutados a Cloud Storage.

  • Tema de Pub/Sub: proporciona asistencia para terceros integraciones como Splunk: Las entradas de registro se formatean en JSON y, luego, se enrutan a Pub/Sub en este tema. El tema puede estar en el mismo proyecto en el que las entradas de registro se originan o en un proyecto diferente. Para obtener información sobre cómo ver las entradas de registro enrutadas a Pub/Sub, consulta Visualiza los registros enrutados a Pub/Sub.

  • Proyecto de Google Cloud: Enruta las entradas de registro a otro proyecto de Google Cloud. En esta configuración, los receptores del proyecto de destino procesan las entradas de registro.

Prácticas recomendadas para interceptar receptores

Cuando crees un receptor interceptor, te recomendamos que hagas lo siguiente:

  • Considera si los recursos secundarios necesitan un control independiente las entradas de registro. Si un recurso secundario necesita un control independiente de ciertos de registro, asegúrate de que tu receptor interceptor no enrute esos las entradas de registro.

  • Agrega la información de contacto a la descripción del receptor interceptor. Esta puede ser útil si quienes administran el receptor interceptor son diferentes de aquellos que administran los proyectos cuyas entradas de registro se interceptan.

  • Para probar la configuración de tu receptor, crea primero un conjunto para garantizar que se enruten las entradas de registro correctas.

Receptores agregados y Controles del servicio de VPC

Las siguientes limitaciones se aplican cuando usas receptores agregados Características de los Controles del servicio de VPC:

  • Los receptores agregados pueden acceder a los datos de los proyectos dentro de un servicio perímetro de servicio. Restringir el acceso de receptores agregados a los datos dentro de perímetro, recomendamos usar IAM para administrar Permisos de Logging.

  • Los Controles del servicio de VPC no permiten agregar los recursos de la organización a los perímetros de servicio. Por lo tanto, no puedes usar los Controles del servicio de VPC para proteger los registros a nivel de carpeta y organización. incluidos los registros agregados. Administrar Logging permisos a nivel de las carpetas o de la organización, te recomendamos usar IAM.

  • Si enrutas los registros con un receptor de nivel de organización o carpeta a un recurso que protege un perímetro de servicio, debes agregar regla de entrada al perímetro de servicio. La regla de entrada debe permitir el acceso al recurso desde la cuenta de servicio que usa el receptor agregado. Para obtener más información, consulta las siguientes páginas:

  • Cuando especificas una política de entrada o salida para un perímetro de servicio no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como un tipo de identidad cuando usas un receptor de registros para enrutar registros a recursos de Cloud Storage. Sin embargo, puedes usar ANY_IDENTITY como el tipo de identidad.

Antes de comenzar

Antes de crear un receptor, asegúrate de lo siguiente:

  • Tienes una organización o carpeta de Google Cloud con entradas de registro que puedes consulta en el Explorador de registros.

  • Tienes uno de los siguientes roles de IAM para Organización o carpeta de Google Cloud desde la que enrutas el contenido las entradas de registro.

    • Propietario (roles/owner)
    • Administrador de Logging (roles/logging.admin)
    • Escritor de configuración de registros (roles/logging.configWriter)

    Los permisos contenidos en estos roles te permiten crear, borrar o modificar receptores. Para obtener información sobre cómo configurar roles de IAM, consulta el Guía de control de acceso de Logging.

  • Tienes un recurso en un destino admitido o tienes la capacidad de crear uno.

    El destino debe crearse antes que el receptor mediante ya sea Google Cloud CLI, la consola de Google Cloud o la APIs Puedes crear el destino en cualquier proyecto de Google Cloud en cualquier pero debes asegurarte de que la cuenta de servicio de la tiene permisos para escribir en el destino.

Crea un receptor agregado

Console

Si quieres crear un receptor agregado para tu organización o carpeta, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Enrutador de registros:

    Ir a Enrutador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona una organización o carpeta existente.

  3. Selecciona Crear receptor.

  4. En el panel Detalles del receptor, ingresa los siguientes detalles:

    • Nombre del receptor: proporciona un identificador para el receptor. ten en cuenta que, después de crear el receptor, no puedes cambiarle el nombre, pero puedes borrarlo crear un receptor nuevo.

    • Descripción del receptor (opcional): Describe el propósito o el caso de uso del el fregadero.

  5. Realiza una de las siguientes acciones:

    • Para crear un receptor interceptor, en el menú Selecciona el servicio del receptor, Selecciona Proyecto de Google Cloud y, luego, ingresa el nombre completamente calificado para el destino. Para obtener más información sobre la sintaxis, consulta Formatos de las rutas de destino.

    • Para crear un receptor sin intercepción, ve a Selecciona el servicio del receptor y realiza una de las siguientes acciones:

      • Para enrutar entradas de registro a un proyecto de Google Cloud diferente, Selecciona Proyecto de Google Cloud y, luego, ingresa el estado nombre del destino. Para obtener más información sobre la sintaxis, consulta Formatos de las rutas de destino.

      • Para enrutar entradas de registro a un servicio que se encuentra en proyecto de Google Cloud, selecciona una de las siguientes opciones:

        • Conjunto de datos de BigQuery: selecciona o crea para recibir las entradas de registro enrutadas. También tienes la opción para usar tablas particionadas.
        • Bucket de Cloud Storage: selecciona o crea bucket de Cloud Storage para recibir las entradas de registro enrutadas.
        • Tema de Pub/Sub: selecciona o crea el tema para recibir las entradas de registro enrutadas.
        • Splunk: Selecciona el tema de Pub/Sub para tu Splunk servicio.

      • Para enrutar entradas de registro a un servicio que se encuentra en un proyecto de Google Cloud, haz lo siguiente:

        1. Selecciona Otro recurso.

        2. Ingresa el nombre completamente calificado para el destino. Para obtener más información sobre la sintaxis, consulta la Formatos de las rutas de destino.

          Por ejemplo, si el destino del receptor es un tema, destination tendrá el siguiente aspecto:

          pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

  6. En el panel Elige registros para incluirlos en el receptor, realiza una de las siguientes acciones:

    • Para crear un receptor interceptor, selecciona Interceptar registros transferidos por esta organización y todos los recursos secundarios.

    • Para crear un receptor agregado sin interceptar, selecciona Incluir registros transferidos por este recurso y todos los recursos secundarios.

  7. Completa el diálogo ingresando un expresión de filtro en la Campo Crea un filtro de inclusión que coincida con las entradas de registro que desees para incluirlos. Si no estableces un filtro, todas las entradas de registro recurso se enrutan al destino.

    Por ejemplo, podrías crear un filtro para enrutar todas las solicitudes los registros de auditoría a un solo bucket de Logging. Este filtro se ve de la siguiente manera:

    LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")

    Para ver ejemplos de filtros, consulta Crea filtros para los receptores agregados.

    Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.

  8. Opcional: Para verificar que ingresaste el filtro correcto, selecciona Obtén una vista previa de los registros. Se abrirá el Explorador de registros en una pestaña nueva filtro prepropagado.

  9. Opcional: En el panel Elige registros para excluir del receptor, lo siguiente:

    1. En el campo Nombre del filtro de exclusión, ingresa un nombre.

    2. En el campo Crear un filtro de exclusión, ingresa un expresión de filtro que coincide con las entradas de registro que quieres excluir. También puedes usar Función sample para seleccionar una parte de las entradas de registro que deseas excluir.

      Por ejemplo, para excluir las entradas de registro de un proyecto específico de siendo enrutado al destino, agrega el siguiente filtro de exclusión:

      logName:projects/PROJECT_ID

      Para excluir entradas de registro de varios proyectos, usa el operador logical-OR para unir cláusulas logName.

    Puedes crear hasta 50 filtros de exclusión por receptor. Ten en cuenta que la longitud del filtro no puede exceder 20,000 caracteres.

  10. Selecciona Crear receptor.

  11. Otorga permiso de escritura a la cuenta de servicio del receptor las entradas de registro al destino de tu receptor. Para obtener más información, consulta Configura permisos de destino.

Protocolo

Para crear un receptor agregado, usa el organizations.sinks.create o folders.sinks.create Método de la API de Logging. Prepara los argumentos del método de la siguiente manera:

  1. Establece el campo parent para que sea la organización o en la que se creará el receptor. El superior debe ser uno de los lo siguiente:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID

  2. En el objeto LogSink, en el cuerpo de la solicitud del método, haz lo siguiente: realiza una de las siguientes acciones:

    • Establece includeChildren en True.

    • Para crear un receptor interceptor, también establece el interceptChildren como True.

  3. Establece el campo filter para que coincida con las entradas de registro que deseas incluir.

    Para ver ejemplos de filtros, consulta Crea filtros para los receptores agregados.

    La longitud de un filtro no puede superar los 20,000 caracteres.

  4. Configura los campos LogSink restantes como lo harías con cualquier receptor. Para obtener más información, consulta Enruta registros a destinos compatibles.

  5. Llama a organizations.sinks.create o folders.sinks.create a crear el receptor.

  6. Otorga a la cuenta de servicio permiso para escribir en tu receptor destino. Para obtener más información, consulta Configura permisos de destino.

gcloud

Para crear un receptor agregado, usa el logging sinks create :

  1. Para crear un receptor, llama al gcloud logging sinks create y asegúrate de incluir la opción --include-children.

    Antes de usar el siguiente comando, realiza los siguientes reemplazos:

    • SINK_NAME: Es el nombre del receptor de registros. No puedes cambiar el nombre de un receptor después de crearlo.
    • SINK_DESTINATION: El servicio o proyecto al que deseas enrutar tus entradas de registro.
    • INCLUSION_FILTER: Es el filtro de inclusión de un receptor. Para ver ejemplos de filtros, consulta Crea filtros para los receptores agregados.
    • FOLDER_ID: Es el ID de la carpeta. Si quieres crear un receptor a nivel de la organización y, luego, reemplazar --folder=FOLDER_ID con -- organization=ORGANIZATION_ID

    Ejecuta el gcloud logging sinks create :

    gcloud logging sinks create SINK_NAME \
  SINK_DESTINATION  --include-children \
  --folder=FOLDER_ID --log-filter="INCLUSION_FILTER"

    También puedes proporcionar las siguientes opciones:

    • Para crear un receptor interceptor, incluye el Opción --intercept-children.

    Por ejemplo, si creas un receptor agregado a nivel de carpeta y cuyo destino es un tema de Pub/Sub, tu comando podría verse de la siguiente manera:

    gcloud logging sinks create SINK_NAME \
  pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID --include-children \
  --folder=FOLDER_ID --log-filter="logName:activity"

  2. Otorga a la cuenta de servicio permiso para escribir en tu receptor destino. Para obtener más información, consulta Configura permisos de destino.

Cualquier cambio que se realice en un receptor puede tardar unos minutos en aplicarse.

Crea filtros para los receptores agregados

Como cualquier receptor, el receptor agregado tiene un filtro que selecciona las entradas de registro. Para ver ejemplos de filtros que podrías usar para crear tu receptor agregado, consulta Consultas de muestra con el Explorador de registros.

A continuación, se presentan algunos ejemplos de comparaciones de consultas que son útiles cuando se usa la función de receptores agregados. Algunos ejemplos usan la siguiente notación:

  • : es el operador de la substring. No sustituyas el operador =.
  • ...… representa cualquier comparación de filtro adicional.
  • Las variables se indican con texto de color. Reemplázalas por valores válidos.

Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.

Para obtener más detalles sobre la sintaxis de filtrado, consulta Lenguaje de consulta de Logging.

Selecciona la fuente del registro

En el caso de un receptor agregado, para cada recurso secundario de la organización o carpeta, los filtros de inclusión y exclusión del receptor se aplican a cada entrada de registro que se envía al recurso secundario. Una entrada de registro que coincida el filtro de inclusión y que no se excluya, se enruta.

Si quieres que tu receptor enrute entradas de registro de todos los recursos secundarios, no especificar un proyecto, una carpeta o una organización en los filtros de inclusión y exclusión de tu receptor. Por ejemplo, supongamos que configura un receptor agregado para una organización con el siguiente filtro:

resource.type="gce_instance"

Con el filtro anterior, las entradas de registro con un tipo de recurso de Instancias de Compute Engine que se escriben en cualquier elemento secundario de esa organización se enrutan al destino a través del receptor agregado.

Sin embargo, puede haber situaciones en las que desees usar un receptor agregado para enrutar entradas de registro solo de recursos secundarios específicos. Por ejemplo, cumplimiento motivos por los que podrías querer almacenar registros de auditoría de carpetas o proyectos específicos en su propio bucket de Cloud Storage. En estas situaciones, configura tu filtro de inclusión para especificar cada recurso secundario cuyas entradas de registro desees enrutado. Si quieres enrutar las entradas de registro de una carpeta y todos los proyectos dentro esa carpeta el filtro debe enumerar la carpeta y cada uno de los proyectos que contiene esa carpeta y unir las sentencias con una cláusula OR.

Los siguientes filtros restringen las entradas de registro a Organizaciones, carpetas o proyectos específicos de Google Cloud:

logName:"projects/PROJECT_ID/logs/" AND ... 
logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ... 
logName:"folders/FOLDER_ID/logs/" AND ... 
logName:"organizations/ORGANIZATION_ID/logs/" AND ...

Por ejemplo, para enrutar solo las entradas de registro escritas en instancias de Compute Engine que se escribieron en la carpeta my-folder, usa el siguiente filtro:

logName:"folders/my-folder/logs/" AND resource.type="gce_instance"

Con el filtro anterior, las entradas de registro escritas en cualquier recurso que no sea my-folder, incluidas las entradas de registro escritas en proyectos de Google Cloud que se elementos secundarios de my-folder, no se enrutan al destino.

Selecciona el recurso supervisado

Para enrutar entradas de registro solo de un recurso supervisado específico en un proyecto de Google Cloud, usa múltiples comparaciones para especificar el recurso exactamente lo siguiente:

logName:"projects/PROJECT_ID/logs" AND
resource.type=RESOURCE_TYPE AND
resource.labels.instance_id=INSTANCE_ID

Para obtener una lista de tipos de recursos, consulta Tipos de recursos supervisados.

Selecciona una muestra de entradas de registro

Para enrutar una muestra aleatoria de entradas de registro, agrega el sample integrado . Por ejemplo, para enrutar solo el diez por ciento de las entradas de registro que coinciden tu filtro actual, usa esta adición:

sample(insertId, 0.10) AND ...

Para obtener más información, consulta la Función sample.

Para obtener más información sobre los filtros de Cloud Logging, consulta Lenguaje de consulta de Logging.

Configura los permisos del destino

En esta sección, se describe cómo otorgar a Logging Permisos de Identity and Access Management para escribir entradas de registro en el destino de tu receptor. Para obtener la lista completa de las funciones y los permisos de Logging, consulta Control de acceso.

Cuando creas o actualizas un receptor que enruta las entradas de registro a cualquier destino que que un bucket de registros en el proyecto actual, una cuenta de servicio para ese receptor es obligatorio. Logging crea y administra automáticamente cuenta de servicio para ti:

  • A partir del 22 de mayo de 2023, cuando crees un receptor y ningún servicio para el recurso subyacente, Logging crea cuenta de servicio. Logging usa la misma cuenta de servicio todos los receptores en el recurso subyacente. Los recursos pueden ser un proyecto de Google Cloud, una organización, una carpeta o un cuenta de facturación de Google Cloud.
  • Antes del 22 de mayo de 2023, Logging creó un servicio para cada receptor. Desde el 22 de mayo de 2023, Logging usa una cuenta de servicio compartida para todos los receptores recurso subyacente.

La identidad de escritor de un receptor es el identificador del servicio. asociada con ese receptor. Todos los receptores tienen una identidad de escritor, a menos que en un bucket de registros en el proyecto actual de Google Cloud.

Enrutar las entradas de registro a un recurso protegido por perímetro de servicio debes agregar la cuenta de servicio para ese receptor a un nivel de acceso asignarlo al perímetro de servicio de destino. Esto no es necesario receptores no agregados. Para obtener más información, consulta Controles del servicio de VPC: Cloud Logging

Si deseas establecer permisos para que tu receptor enrute a su destino, sigue estos pasos:

Console

  1. Para obtener información sobre la cuenta de servicio de tu receptor, haz lo siguiente:

    1. En la consola de Google Cloud, ve a la página Enrutador de registros:

      Ir a Enrutador de registros

      Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

    2. Selecciona Menú y, luego, Ver detalles del receptor. La identidad del escritor aparece Panel Detalles del receptor.

    3. Si el valor del campo writerIdentity contiene una dirección de correo electrónico, y continúa con el siguiente paso. Cuando el valor es None, no se deben configurar los permisos de destino.

    4. Copia la identidad de escritor del receptor en el portapapeles. La cadena serviceAccount: es es parte de la identidad de la cuenta de servicio. Por ejemplo:

      serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

    5. Agrega la cuenta de servicio como una principal de IAM en la proyecto de destino:

      1. En la consola de Google Cloud, ve a la página IAM:

        Ir a IAM

        Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.

      2. Selecciona el proyecto de destino.

      3. Haz clic en Grant access.

      4. Otorga a la cuenta de servicio el rol de IAM necesario:

        • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle los Rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
        • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle los Rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
        • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle los Rol de publicador de Pub/Sub (roles/pubsub.publisher).
        • Para los destinos de bucket de Logging en diferentes En proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal. con IAM y, luego, otórgale los Función de escritor de buckets de registros (roles/logging.bucketWriter).
        • Para los destinos de los proyectos de Google Cloud, agrega de escritor con la identidad de IAM y otorgarle Función de escritor de registros (roles/logging.logWriter). Específicamente, un principal necesita logging.logEntries.route.

Protocolo

Te recomendamos que uses la consola de Google Cloud o Google Cloud CLI para otorgar un rol a la cuenta de servicio.

gcloud

  1. Asegúrate de tener acceso de Propietario en la Proyecto de Google Cloud que contiene el destino. Si no tienes acceso de Propietario al destino del receptor, luego pedirle a un propietario del proyecto que agregue la identidad de escritor como principal.

  2. Para obtener información sobre la cuenta de servicio de tu receptor, llama al gcloud logging sinks describe.

    Antes de usar el siguiente comando, realiza los siguientes reemplazos:

    • SINK_NAME: Es el nombre del receptor de registros. No puedes cambiar el nombre de un receptor después de crearlo.

    Ejecuta el gcloud logging sinks describe :

    gcloud logging sinks describe SINK_NAME

  3. Si los detalles del receptor contienen un campo etiquetado writerIdentity, entonces continúa con el siguiente paso. Si los detalles no incluyen un writerIdentity no necesitas configurar permisos de destino para el receptor.

  4. Copia la identidad de escritor del receptor en el portapapeles. La cadena serviceAccount: es es parte de la identidad de la cuenta de servicio.

    La identidad de escritor de la cuenta de servicio es similar a la lo siguiente:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  5. Para agregar la cuenta de servicio como una principal de IAM en el proyecto de destino, llama a gcloud projects add-iam-policy-binding kubectl.

    Antes de usar el siguiente comando, realiza los siguientes reemplazos:

    • PROJECT_ID: Es el identificador del proyecto.
    • PRINCIPAL: Un identificador para la principal que deseas a la que otorgas el rol. Los identificadores principales suelen tener el siguiente formato: PRINCIPAL-TYPE:ID Por ejemplo, user:my-user@example.com. Para obtener una lista completa de los formatos que puede tener PRINCIPAL_ID, consulta Identificadores principales.

    • ROLE: Es un rol de IAM.

      • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle los Rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
      • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle los Rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
      • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle los Rol de publicador de Pub/Sub (roles/pubsub.publisher).
      • Para los destinos de bucket de Logging en diferentes En proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal. con IAM y, luego, otórgale los Función de escritor de buckets de registros (roles/logging.bucketWriter).
      • Para los destinos de los proyectos de Google Cloud, agrega de escritor con la identidad de IAM y otorgarle Función de escritor de registros (roles/logging.logWriter). Específicamente, un principal necesita logging.logEntries.route.

    Ejecuta el gcloud projects add-iam-policy-binding :

    gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE

¿Qué sigue?