Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi CMEK untuk Cloud Logging

Dokumen ini menjelaskan cara mengonfigurasi dan mengelola kunci enkripsi yang dikelola pelanggan (CMEK) untuk Cloud Logging guna memenuhi kebutuhan kepatuhan organisasi Anda. Anda dapat mengonfigurasi CMEK sebagai setelan resource default untuk organisasi, folder, atau keduanya. Saat dikonfigurasi, Cloud Logging memastikan bahwa semua bucket log baru di organisasi atau folder dienkripsi dengan kunci yang dikelola pelanggan.

Anda dapat mengonfigurasi setelan default untuk organisasi dan untuk folder. Saat Anda membuat resource baru, resource tersebut akan mewarisi setelan default induknya. Misalnya, jika Anda mengonfigurasi CMEK sebagai setelan resource default untuk organisasi, setiap bucket log _Default dan _Required baru yang dibuat di project, folder, atau akun penagihan di organisasi tersebut akan dienkripsi dengan kunci default. Selain itu, jika Anda membuat bucket log kustom dalam project yang merupakan turunan dari organisasi tersebut, kunci default akan otomatis digunakan kecuali jika Anda memberikan kunci yang berbeda saat membuat bucket log.

Petunjuk dalam panduan ini menggunakan Google Cloud CLI.

Ringkasan

Secara default, Cloud Logging mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Data yang disimpan di bucket log oleh Logging dienkripsi menggunakan kunci enkripsi kunci, proses yang dikenal sebagai enkripsi menyeluruh. Akses ke data logging Anda memerlukan akses ke kunci enkripsi kunci tersebut. Secara default, kunci enkripsi ini adalah kunci enkripsi , milik Google, dan dikelola Google , dan tidak memerlukan tindakan apa pun dari Anda.

Organisasi Anda mungkin memiliki persyaratan enkripsi peraturan, terkait kepatuhan, atau lanjutan yang tidak disediakan oleh enkripsi default dalam penyimpanan kami. Untuk memenuhi persyaratan organisasi, Anda dapat mengonfigurasi CMEK untuk mengontrol dan mengelola enkripsi Anda sendiri, bukan menggunakan kunci enkripsimilik Google dan dikelola Google .

Untuk informasi spesifik tentang CMEK, termasuk keuntungan dan batasannya, lihat Kunci enkripsi yang dikelola pelanggan.

Saat Anda mengonfigurasi CMEK sebagai setelan resource default untuk Logging, hal berikut akan terjadi:

Bucket log baru di organisasi atau folder secara otomatis dienkripsi dengan kunci yang dikonfigurasi. Namun, Anda dapat mengubah kunci tersebut atau membuat bucket log dan menentukan kunci yang berbeda. Untuk informasi selengkapnya, lihat Mengonfigurasi CMEK untuk bucket log.

Jika Anda menggunakan Log Analytics dan membuat kueri beberapa bucket log, kunci default mungkin digunakan untuk mengenkripsi data sementara. Untuk mengetahui informasi selengkapnya, lihat Batasan Log Analytics.

Sebelum memulai

Untuk memulai, selesaikan langkah-langkah berikut:

Sebelum membuat bucket log dengan CMEK yang diaktifkan, tinjau Batasan.
In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Konfigurasikan project Google Cloud tempat Anda berencana membuat kunci:
1. Untuk mendapatkan izin yang diperlukan guna membuat kunci, minta administrator untuk memberi Anda peran IAM Cloud KMS Admin (roles/cloudkms.admin) di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
  
  Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
2. Aktifkan Cloud KMS API.
3. Buat key ring dan kunci.
  
  Cloud Logging memungkinkan Anda menggunakan kunci dari region mana pun. Namun, saat Anda membuat bucket log, lokasi bucket log harus cocok dengan lokasi kunci. Untuk mengetahui informasi tentang region yang didukung, lihat hal berikut:
  - Lokasi Cloud KMS
  - Wilayah yang Didukung Logging
  Jika Anda mengonfigurasi CMEK sebagai setelan resource default untuk Logging menggunakan langkah-langkah dalam dokumen ini, bucket log baru yang dibuat di organisasi atau folder akan otomatis dikonfigurasi untuk CMEK. Selain itu, karena lokasi bucket log harus cocok dengan lokasi kunci, setelah mengonfigurasi CMEK sebagai setelan resource default, Anda tidak dapat membuat bucket log di region global.
Pastikan peran IAM Anda di organisasi atau folder yang setelan defaultnya ingin Anda konfigurasi menyertakan izin Cloud Logging berikut:
- logging.settings.get
- logging.settings.update

Mengaktifkan CMEK untuk organisasi atau folder

Ikuti petunjuk ini untuk mengaktifkan CMEK untuk folder atau organisasi Google Cloud .

Menentukan ID akun layanan

Untuk menentukan ID akun layanan yang terkait dengan organisasi atau folder yang akan menerapkan CMEK, jalankan perintah gcloud logging settings describe berikut:

FOLDER

 gcloud logging settings describe --folder=FOLDER_ID

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

FOLDER_ID: ID numerik unik folder. Untuk informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.

ORGANISASI

gcloud logging settings describe --organization=ORGANIZATION_ID

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

ORGANIZATION_ID: ID numerik unik organisasi. Untuk informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi.

Perintah sebelumnya membuat akun layanan untuk organisasi atau folder, jika belum ada. Perintah ini juga menampilkan ID dua akun layanan, satu di kolom kmsServiceAccountId dan yang lainnya di kolom loggingServiceAccountId. Untuk mengonfigurasi CMEK sebagai setelan default, gunakan nilai di kolom kmsServiceAccountId.

Berikut ini ilustrasi contoh respons terhadap perintah sebelumnya saat organisasi ditentukan:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.
name: organizations/ORGANIZATION_ID/settings

Jalankan proses penyediaan satu kali per resource. Menjalankan perintah describe beberapa kali akan menampilkan nilai yang sama untuk kolom kmsServiceAccountId.

Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API getSettings.

Menetapkan peran Pengenkripsi/Pendekripsi

Untuk menggunakan CMEK, beri akun layanan izin untuk menggunakan Cloud KMS Anda dengan menetapkan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS ke akun layanan:

gcloud

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging. \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
KMS_SERVICE_ACCT_NAME: Nama akun layanan yang ditampilkan di kolom kmsServiceAccountId dari respons perintah gcloud logging settings describe.
KMS_KEY_LOCATION: Region kunci Cloud KMS.
KMS_KEY_RING: Nama key ring Cloud KMS.
KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Konsol

Buka browser Cloud Key Management Service Keys di konsol Google Cloud .
Buka browser Kunci Cloud KMS
Pilih nama key ring yang berisi kunci.
Centang kotak untuk kunci.

Tab Permissions akan tersedia.
Pada dialog Add members, tentukan alamat email akun layanan Logging yang Anda berikan akses.
Di menu drop-down Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypte.
Klik Tambahkan.

Mengonfigurasi kebijakan organisasi

Logging mendukung kebijakan organisasi yang dapat mewajibkan perlindungan CMEK dan dapat membatasi Cloud KMS CryptoKeys yang dapat digunakan untuk perlindungan CMEK:

Jika logging.googleapis.com tercantum dalam daftar kebijakan layanan Deny untuk batasan constraints/gcp.restrictNonCmekServices, Logging akan menolak pembuatan bucket baru yang ditentukan pengguna yang tidak dilindungi CMEK. Namun, batasan ini tidak mencegah Cloud Logging membuat bucket log _Required dan _Default yang dibuat saat projectGoogle Cloud dibuat.
Saat constraints/gcp.restrictCmekCryptoKeyProjects diterapkan, logging akan membuat resource yang dilindungi CMEK yang dilindungi oleh CryptoKey dari project, folder, atau organisasi yang diizinkan.

Untuk mengetahui informasi selengkapnya tentang CMEK dan kebijakan organisasi, lihat kebijakan organisasi CMEK.

Jika ada kebijakan organisasi yang menentukan batasan CMEK, pastikan batasan tersebut konsisten dengan setelan default Logging untuk organisasi atau folder. Selain itu, jika Anda berencana mengubah setelan default, sebelum memperbarui setelan default, tinjau dan, jika perlu, perbarui kebijakan organisasi.

Untuk melihat atau mengonfigurasi kebijakan organisasi, lakukan hal berikut:

Di konsol Google Cloud , buka halaman Organization Policies:
Buka Kebijakan Organisasi

Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah IAM & Admin.
Pilih organisasi Anda.
Verifikasi, dan jika perlu, perbarui batasan khusus untuk CMEK.

Untuk informasi tentang cara mengubah kebijakan organisasi, lihat Membuat dan mengedit kebijakan.

Mengonfigurasi Cloud Logging dengan kunci Cloud KMS

Untuk mengonfigurasi CMEK sebagai setelan resource default untuk Logging, jalankan perintah gcloud logging settings update berikut:

FOLDER

gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

FOLDER_ID: ID numerik unik folder. Untuk informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
KMS_KEY_LOCATION: Region kunci Cloud KMS.
KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
KMS_KEY_RING: Nama key ring Cloud KMS.
KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.

Perintah sebelumnya memperbarui setelan default untuk menyimpan informasi tentang kunci Cloud KMS. Anda harus memastikan bahwa lokasi penyimpanan default untuk folder ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menetapkan lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, tambahkan kode berikut ke perintah sebelumnya:

--storage-location = KMS_KEY_LOCATION

Flag --storage-location memungkinkan Anda menetapkan atau memperbarui lokasi penyimpanan default untuk folder.

ORGANISASI

gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

ORGANIZATION_ID: ID numerik unik organisasi. Untuk informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi.
KMS_KEY_LOCATION: Region kunci Cloud KMS.
KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
KMS_KEY_RING: Nama key ring Cloud KMS.
KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.

Perintah sebelumnya memperbarui setelan default untuk menyimpan informasi tentang kunci Cloud KMS. Anda harus memastikan bahwa lokasi penyimpanan default untuk organisasi ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menetapkan lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, tambahkan kode berikut ke perintah sebelumnya:

--storage-location = KMS_KEY_LOCATION

Flag --storage-location memungkinkan Anda menetapkan atau memperbarui lokasi penyimpanan default untuk organisasi.

Setelah kunci diterapkan, bucket log baru di organisasi atau folder akan dikonfigurasi untuk mengenkripsi data dalam penyimpanan menggunakan kunci ini. Anda juga dapat mengubah kunci untuk setiap bucket log. Anda tidak dapat membuat bucket log di region global karena Anda harus menggunakan kunci yang region-nya cocok dengan cakupan regional data Anda.

Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API updateSettings.

Memverifikasi pengaktifan kunci

Untuk memverifikasi bahwa Anda telah berhasil mengaktifkan CMEK untuk organisasi atau folder, jalankan perintah gcloud logging settings describe berikut:

FOLDER

gcloud logging settings describe --folder=FOLDER_ID

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

FOLDER_ID: ID numerik unik folder. Untuk informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.

ORGANISASI

gcloud logging settings describe --organization=ORGANIZATION_ID

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

ORGANIZATION_ID: ID numerik unik organisasi. Untuk informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi.

Saat perintah sebelumnya menampilkan nama kunci Cloud KMS di kolom kmsKeyName diisi, CMEK akan diaktifkan untuk organisasi atau folder:

kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.

Merutekan log ke tujuan yang didukung

Bucket log Cloud Logging dapat dikonfigurasi untuk mengenkripsi data dengan CMEK. Saat Anda mengonfigurasi CMEK sebagai setelan default untuk organisasi atau folder, bucket log baru di organisasi atau folder akan otomatis menggunakan CMEK. Anda dapat mengubah kunci bucket log ini dan membuat bucket log yang menggunakan kunci KMS yang berbeda dari yang ditentukan oleh setelan default.

Untuk mengetahui informasi tentang CMEK yang diterapkan ke bucket log, termasuk cara mengubah kunci dan batasan saat Anda mengaktifkan CMEK di bucket log, lihat Mengonfigurasi CMEK untuk bucket log.

Cloud Storage mendukung CMEK untuk merutekan log. Untuk petunjuk tentang cara mengonfigurasi CMEK untuk Cloud Storage, lihat Menggunakan kunci enkripsi yang dikelola pelanggan.

Jika data hilang karena kunci tidak tersedia saat merutekan data log ke Cloud Storage, Anda dapat menyalin log secara massal secara retroaktif ke Cloud Storage jika log tersebut juga disimpan di bucket log. Untuk mengetahui detailnya, lihat Menyalin entri log.

Secara default, BigQuery mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Untuk mengetahui detailnya, lihat Melindungi data dengan kunci Cloud Key Management Service.

Secara default, Pub/Sub mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Untuk mengetahui detailnya, lihat Mengonfigurasi enkripsi pesan.

Mengelola kunci Cloud KMS

Bagian berikut menjelaskan cara mengubah, mencabut akses, atau menonaktifkan kunci Cloud KMS Anda.

Mengubah kunci Cloud KMS

Untuk mengubah kunci Cloud KMS yang terkait dengan organisasi atau folder, buat kunci, lalu jalankan perintah gcloud logging settings update dan berikan informasi tentang kunci Cloud KMS baru:

FOLDER

gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

Anda harus memastikan bahwa lokasi penyimpanan default untuk folder ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menetapkan lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, tambahkan kode berikut ke perintah sebelumnya:

--storage-location = NEW_KMS_KEY_LOCATION

ORGANISASI

gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

Anda harus memastikan bahwa lokasi penyimpanan default untuk organisasi ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menetapkan lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, tambahkan kode berikut ke perintah sebelumnya:

--storage-location = NEW_KMS_KEY_LOCATION

Mencabut akses ke kunci Cloud KMS

Anda dapat mencabut akses Logging ke kunci Cloud KMS dengan menghapus izin IAM akun layanan yang dikonfigurasi untuk kunci tersebut.

Jika Anda menghapus akses Logging ke kunci, mungkin diperlukan waktu hingga satu jam agar perubahan diterapkan.

Untuk mencabut akses Logging ke kunci Cloud KMS, jalankan perintah Google Cloud CLI berikut:

gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging. \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
KMS_SERVICE_ACCT_NAME: Nama akun layanan yang ditampilkan di kolom kmsServiceAccountId dari respons perintah gcloud logging settings describe.
KMS_KEY_LOCATION: Region kunci Cloud KMS.
KMS_KEY_RING: Nama key ring Cloud KMS.
KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Menonaktifkan CMEK

Menonaktifkan CMEK untuk organisasi atau folder akan menghapus penerapan kebijakan CMEK hanya untuk operasi mendatang; konfigurasi apa pun yang diterapkan sebelumnya akan tetap utuh.

Untuk menonaktifkan CMEK pada resource yang telah mengonfigurasi CMEK sebagai setelan resource default, jalankan perintah Google Cloud CLI berikut:

FOLDER

gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

FOLDER_ID: ID numerik unik folder. Untuk informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.

ORGANISASI

gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

ORGANIZATION_ID: ID numerik unik organisasi. Untuk informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi.

Jika Anda ingin menghancurkan kunci, lihat Menghancurkan dan memulihkan versi kunci.

Pertimbangan rotasi kunci Cloud KMS

Cloud Logging tidak otomatis merotasi kunci enkripsi untuk file disaster recovery sementara saat kunci Cloud KMS yang terkait dengan organisasi atau folder Google Cloud dirotasi. File pemulihan yang ada akan terus menggunakan versi kunci yang digunakan untuk membuat file tersebut. File pemulihan baru menggunakan versi kunci utama saat ini.

Batasan

Berikut adalah batasan umum saat Anda mengonfigurasi CMEK sebagai setelan resource default untuk Logging.

File pemulihan dari bencana tidak tersedia

Kunci Cloud KMS dianggap tersedia dan dapat diakses oleh logging jika kedua hal berikut benar:

Kunci diaktifkan.
Akun layanan yang tercantum di kolom kmsServiceAccountId respons perintah gcloud logging settings describe memiliki enkripsi dan dekripsi yang memiliki izin pada kunci.

Jika Logging kehilangan akses ke kunci Cloud KMS, Logging tidak dapat menulis file disaster recovery sementara dan, bagi pengguna, kueri akan berhenti berfungsi. Performa kueri mungkin tetap menurun bahkan setelah akses kunci dipulihkan.

Pemuatan log ke Cloud Storage mungkin juga terpengaruh karena logging tidak dapat menulis file sementara yang diperlukan untuk memfasilitasi pemilihan rute. Jika terjadi error saat mengenkripsi atau mendekripsi data, notifikasi akan dikirim ke project Google Cloud yang berisi kunci Cloud KMS.

Ketersediaan library klien

Library klien logging tidak menyediakan metode untuk mengonfigurasiCMEK.

Degradasi karena kunci Cloud EKM tidak tersedia

Saat Anda menggunakan kunci Cloud EKM, Google tidak memiliki kontrol atas ketersediaan kunci yang dikelola secara eksternal di sistem partner pengelolaan kunci eksternal.

Jika CMEK dikonfigurasi sebagai setelan resource default untuk organisasi atau folder, jika kunci yang dikelola secara eksternal tidak tersedia, Cloud Logging akan terus mencoba mengakses kunci tersebut. Cloud Logging juga buffering data log yang masuk hingga satu jam. Setelah satu jam, jika Cloud Logging masih tidak dapat mengakses kunci yang dikelola secara eksternal, Cloud Logging akan mulai menghapus data.

Jika CMEK diterapkan ke bucket log dan jika kunci yang dikelola secara eksternal tidak tersedia, Cloud Logging akan terus menyimpan log di bucket log, tetapi pengguna tidak akan dapat mengakses data tersebut.

Lihat dokumentasi Cloud External Key Manager untuk mengetahui pertimbangan lainnya, dan kemungkinan alternatif, saat menggunakan kunci eksternal.

Batasan pada bucket log

Untuk mengetahui batasan saat Anda menggunakan CMEK dengan bucket log, lihat Batasan.

Kuota

Untuk mengetahui detail tentang batas penggunaan Logging, lihat Kuota dan batas.

Memecahkan masalah error konfigurasi

Untuk informasi tentang pemecahan masalah error konfigurasi CMEK, lihat Memecahkan masalah CMEK dan error setelan default.