버킷 수준 액세스 구성

이 문서에서는 Cloud Logging 버킷에서 로그 뷰를 만들고 관리하는 방법을 설명합니다. 로그 보기를 사용하면 로그 버킷 내 로그에 액세스할 수 있는 사용자를 더욱 세분화하여 제어할 수 있습니다.

Cloud Logging은 모든 버킷에 대한 _AllLogs 보기를 자동으로 만들어 모든 로그를 표시합니다. 또한 Cloud Logging은_Default라는 _Default 버킷의 보기도 만듭니다. _Default 버킷의 _Default 보기에는 데이터 액세스 감사 로그를 제외한 모든 로그가 표시됩니다. _AllLogs_Default 보기는 수정할 수 없습니다.

Logging 스토리지 모델에 대한 일반적인 정보는 라우팅 및 스토리지 개요를 참조하세요.

다음 안내에서는 gcloud CLI를 사용하여 Google Cloud 프로젝트에서 로그 뷰를 생성, 보기, 업데이트, 삭제하는 방법을 설명합니다.

시작하기 전에

로그 뷰를 만들거나 업데이트하기 전에 다음 단계를 완료합니다.

  1. 아직 수행하지 않았으면 적절한 Google Cloud 프로젝트에서 커스텀 로그 뷰를 구성할 Logging 버킷을 만듭니다.

  2. Google Cloud 프로젝트에 제안된 IAM 역할 중 하나가 있는지 확인합니다.

    • roles/logging.admin

    • roles/logging.configWriter

    이러한 역할에는 로그 뷰를 생성, 보기, 업데이트, 삭제하는 데 필요한 logging.views.* 권한이 포함되어 있습니다.

  3. 명령줄을 사용하는 경우 Google Cloud CLI를 설치합니다.

  4. 보기에 포함할 로그를 결정합니다. 이 정보를 사용하여 로그 뷰의 필터를 지정합니다.

필터

각 로그 뷰에는 뷰에 표시되는 로그 항목을 제한하는 필터가 포함되어 있습니다. 필터가 비어 있으면 로그 뷰에서 리소스에 사용할 수 있는 모든 로그를 선택합니다.

필터는 논리 AND로, 다음 값을 비교합니다.

  • source 함수를 사용하는 데이터 소스. source 함수는 조직, 폴더, Google Cloud 프로젝트 계층 구조의 특정 리소스에서 로그 항목을 반환합니다.

  • log_id 함수를 사용하는 로그 ID. log_id 함수는 logName 필드에서 지정된 LOG_ID 인수와 일치하는 로그 항목을 반환합니다.

  • resource.type=FIELD_NAME 비교를 사용하는 유효한 리소스 유형.

예를 들어 다음 필터는 myproject라는 Google Cloud 프로젝트에서 Compute Engine stdout 로그 항목을 캡처합니다.

source("projects/myproject") AND resource.type = "gce_instance" AND log_id("stdout")

로그 뷰의 필터에는 OR 연산자가 포함될 수 없습니다. 로그 뷰에서는 ANDNOT 작업만 지원합니다.

필터링 구문에 대한 자세한 내용은 비교를 참조하세요.

로그 뷰 만들기

로그 버킷당 최대 30개의 로그 뷰를 만들 수 있습니다.

버킷의 Compute Engine 로그 항목만 일치하는 로그 뷰를 만들려면 변수를 자체 정보로 바꾼 후 다음 명령어를 실행합니다.

gcloud logging views create VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter='resource.type="gce_instance"'

앞선 명령어에서 VIEW_ID 변수는 로그 뷰 식별자입니다. 설명이 포함된 이름을 사용하면 로그 뷰를 쉽게 식별할 수 있습니다. 또한 LOCATION 변수 값을 BUCKET_NAME 변수로 지정한 버킷의 위치로 설정해야 합니다. 예를 들어 버킷 위치가 us-central1이면 이전 명령어에 --location=us-central1 문이 포함되어야 합니다. 지원되는 리전에 대한 자세한 내용은 데이터 리전 이해하기를 참조하세요.

로그 뷰를 만드는 명령어에 대한 자세한 내용은 gcloud logging views create를 참조하세요.

버킷 보기를 나열하여 보기가 만들어졌는지 확인합니다.

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

로그 뷰에 대한 액세스 권한 부여

사용자가 로그에 액세스할 수 있도록 보기에 추가하려면 다음 단계를 완료하세요.

gcloud

  1. 프로젝트의 IAM 정책을 가져와 JSON 형식의 로컬 파일에 씁니다.

    gcloud projects get-iam-policy PROJECT_ID --format json > output.json

  2. 사용자가 만든 버킷에서 사용자가 읽을 수 있도록 IAM 조건을 추가합니다. 예를 들면 다음과 같습니다.

    {
  "bindings": [
    {
      "members": [
        "user:username@gmail.com"
      ],
      "role": "roles/logging.viewAccessor",
      "condition": {
          "title": "Bucket reader condition example",
          "description": "Grants logging.viewAccessor role to user username@gmail.com for the VIEW_ID log view.",
          "expression":
            "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID\""
      }
    }
  ],
  "etag": "BwWd_6eERR4=",
  "version": 3
}

  3. IAM 정책을 업데이트합니다.

    gcloud projects set-iam-policy PROJECT_ID output.json

콘솔

로그 버킷을 만든 프로젝트에서 다음을 수행합니다.

  1. Google Cloud 콘솔에서 IAM을 선택하거나 다음 버튼을 클릭합니다.

    IAM으로 이동

  2. 액세스 권한 부여를 클릭합니다.

  3. 새 주 구성원 필드에 사용자의 이메일 계정을 추가합니다.

  4. 역할 선택 드롭다운 메뉴에서 로그 뷰 접근자를 선택합니다.

    이 역할은 사용자에게 모든 보기에 대한 읽기 액세스 권한을 제공합니다. 특정 보기에 대한 사용자 액세스를 제한하려면 리소스 이름을 기준으로 조건을 추가합니다.

    1. IAM 조건 추가를 클릭합니다.

    2. 조건의 제목설명을 입력합니다.

    3. 조건 유형 드롭다운 메뉴에서 리소스 > 이름을 선택합니다.

    4. 연산자 드롭다운 메뉴에서 일치를 선택합니다.

    5. 필드에 뷰의 전체 경로를 포함한 로그 뷰의 ID를 입력합니다.

      예를 들면 다음과 같습니다.

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID

    6. 저장을 클릭하여 조건을 추가합니다.

  5. 저장을 클릭하여 권한을 설정합니다.

자세한 내용은 IAM 조건 개요를 참조하세요.

로그 뷰 업데이트

로그 뷰를 업데이트하려면 변수를 자체 정보로 바꾼 후 다음 명령어를 실행합니다.

gcloud logging views update VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=NEW_BUCKET_NAME \
  --location=LOCATION --description="New description for the log view"

버킷 보기를 나열하여 보기가 업데이트되었는지 확인합니다.

gcloud logging views list --bucket=NEW_BUCKET_NAME --location=LOCATION

_Default_AllLogs 보기를 업데이트할 수 없습니다.

로그 뷰 삭제

로그 뷰를 삭제하려면 변수를 자체 정보로 바꾼 후 다음 명령어를 실행합니다.

gcloud logging views delete VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

버킷 보기를 나열하여 뷰가 삭제되었는지 확인합니다.

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

로그 뷰 나열

버킷에 정의된 모든 로그 뷰를 나열하려면 변수를 자체 정보로 바꾼 후 다음 명령어를 사용합니다.

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

다음 출력에는 _AllLogstest_view의 두 가지 뷰 ID가 포함됩니다.

VIEW_ID: _AllLogs
FILTER:
CREATE_TIME:
UPDATE_TIME:

VIEW_ID: test_view
FILTER:
CREATE_TIME: 2022-07-20T20:50:55.488082225Z
UPDATE_TIME: 2022-07-20T20:50:55.488082225Z

로그 뷰 설명

gcloud logging views describe 명령어를 사용하여 로그 뷰에 대한 정보를 검색할 수 있습니다.

로그 뷰를 설명하려면 변수를 자체 정보로 바꾼 후 다음 명령어를 실행합니다.

gcloud logging views describe VIEW_ID --bucket=BUCKET_NAME --location=LOCATION

앞선 명령어에서 VIEW_ID는 세부정보를 표시하려는 뷰의 이름입니다. 뷰 이름을 모르는 경우 버킷의 뷰 목록을 표시하면 됩니다. 자세한 내용은 로그 뷰 나열을 참조하세요.

로그 뷰와 연결된 로그 보기

로그 뷰에서 로그를 보려면 로그 뷰에 대한 roles/logging.viewAccessor 역할이 있어야 합니다.

  1. Google Cloud 콘솔에서 Logging을 선택한 후 로그 탐색기를 선택하거나 다음 버튼을 클릭합니다.

    로그 탐색기로 이동

  2. 범위 상세검색을 클릭하여 범위 상세검색 패널을 표시합니다. 여기에서 로그 확인에 사용할 로그 버킷과 로그 뷰를 선택할 수 있습니다.

범위 상세검색 패널

자세한 내용은 로그 탐색기 문서를 참조하세요.

다음 단계

필드 수준 액세스 구성