Questo documento descrive come configurare e gestire le chiavi di crittografia gestite dal cliente (CMEK) per Cloud Logging per soddisfare le esigenze di conformità della tua organizzazione. Puoi configurare CMEK come impostazione predefinita delle risorse per un'organizzazione, una cartella o per entrambe. Una volta configurato, Cloud Logging garantisce che tutti i nuovi bucket di log nell'organizzazione o nella cartella siano criptati con una chiave gestita dal cliente.
Puoi configurare le impostazioni predefinite per un'organizzazione e per
le cartelle. Quando crei nuove risorse, queste ereditano le
impostazioni predefinite dell'elemento principale. Ad esempio, se configuri CMEK come
impostazione predefinita della risorsa per un'organizzazione, tutti i nuovi
bucket di log _Default
e _Required
creati in progetti, cartelle
o account di fatturazione in quell'organizzazione vengono criptati con la chiave predefinita.
Inoltre, se crei un bucket di log personalizzato in un progetto figlio di
quell'organizzazione, la chiave predefinita viene utilizzata automaticamente a meno che tu non
fornisca una chiave diversa durante la creazione del bucket di log.
Le istruzioni di questa guida utilizzano Google Cloud CLI.
Panoramica
Per impostazione predefinita, Cloud Logging cripta i contenuti dei clienti archiviati inattivi. I dati archiviati nei bucket dei log da Logging vengono criptati utilizzando chiavi di crittografia della chiave, un processo noto come crittografia envelope. L'accesso ai dati di logging richiede l'accesso a queste chiavi di crittografia delle chiavi. Per impostazione predefinita, questi sono Google-owned and Google-managed encryption keys e non richiedono alcuna azione da parte tua.
La tua organizzazione potrebbe avere requisiti normativi, di conformità o di crittografia avanzata che la nostra crittografia at-rest predefinita non fornisce. Per soddisfare i requisiti della tua organizzazione, anziché utilizzare Google-owned and Google-managed encryption keys, puoi configurare CMEK per controllare e gestire la tua crittografia.
Per informazioni specifiche su CMEK, inclusi vantaggi e limitazioni, consulta Chiavi di crittografia gestite dal cliente.
Quando configuri CMEK come impostazione predefinita delle risorse per Logging, si verifica quanto segue:
- I nuovi bucket dei log nell'organizzazione o nella cartella vengono criptati automaticamente con la chiave configurata. Tuttavia, puoi modificare la chiave o creare bucket di log e specificare una chiave diversa. Per maggiori informazioni, consulta la sezione Configurare CMEK per i bucket di log.
- Se utilizzi Analisi dei log ed esegui query su più bucket di log, la chiave predefinita potrebbe essere utilizzata per criptare i dati temporanei. Per ulteriori informazioni, vedi Limitazioni di Log Analytics.
Prima di iniziare
Per iniziare, completa i seguenti passaggi:
Prima di creare un bucket log con CMEK abilitata, esamina le limitazioni.
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Configura il progetto Google Cloud in cui prevedi di creare le chiavi:
-
Per ottenere le autorizzazioni necessarie per creare chiavi, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (
roles/cloudkms.admin
) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Crea una chiave automatizzata e chiavi.
Cloud Logging consente di utilizzare una chiave di qualsiasi regione. Tuttavia, quando crei un bucket dei log, la posizione del bucket dei log deve corrispondere a quella della chiave. Per informazioni sulle regioni supportate, consulta quanto segue:
Se configuri CMEK come impostazione predefinita della risorsa per Logging utilizzando i passaggi descritti in questo documento, i nuovi bucket log creati nell'organizzazione o nella cartella vengono configurati automaticamente per CMEK. Inoltre, poiché la posizione di un bucket di log deve corrispondere alla posizione della chiave, dopo aver configurato CMEK come impostazione predefinita della risorsa, non puoi creare bucket di log nella regione
global
.
-
Assicurati che il tuo ruolo IAM nell'organizzazione o nella cartella di cui vuoi configurare le impostazioni predefinite includa le seguenti autorizzazioni Cloud Logging:
logging.settings.get
logging.settings.update
- FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.
- ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.
- KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta la sezione Identificazione dei progetti.
- KMS_SERVICE_ACCT_NAME: il nome del account di servizio mostrato nel campo
kmsServiceAccountId
della risposta del comandogcloud logging settings describe
. - KMS_KEY_LOCATION: la regione della chiave Cloud KMS.
- KMS_KEY_RING: il nome del keyring Cloud KMS.
- KMS_KEY_NAME:
Il nome della chiave Cloud KMS. È formattato nel seguente modo:
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
. - Nella console Google Cloud , vai alla pagina Gestione delle chiavi.
Seleziona il nome del keyring che contiene la chiave.
Seleziona la casella di controllo relativa alla chiave.
La scheda Autorizzazioni diventa disponibile.
Nella finestra di dialogo Aggiungi membri, specifica l'indirizzo email dell'account di servizio Logging a cui stai concedendo l'accesso.
Nel menu a discesa Seleziona un ruolo, seleziona Cloud KMS CryptoKey Encrypter/Decrypter.
Fai clic su Aggiungi.
Quando
logging.googleapis.com
si trova nell'elenco dei servizi dei criteriDeny
per il vincoloconstraints/gcp.restrictNonCmekServices
, Logging rifiuta di creare nuovi bucket definiti dall'utente che non sono protetti da CMEK. Tuttavia, questo vincolo non impedisce a Cloud Logging di creare i bucket di log_Required
e_Default
, che vengono creati quando viene creato un progetto Google Cloud .Quando viene applicato
constraints/gcp.restrictCmekCryptoKeyProjects
, Logging crea risorse protette da CMEK protette da una CryptoKey di un progetto, una cartella o un'organizzazione consentiti.-
Nella console Google Cloud , vai alla pagina Policy dell'organizzazione:
Vai a Policy dell'organizzazione
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.
- Seleziona la tua organizzazione.
Verifica e, se necessario, aggiorna i vincoli specifici di CMEK.
Per informazioni su come modificare una norma dell'organizzazione, vedi Creare e modificare le norme.
- FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.
- KMS_KEY_LOCATION: la regione della chiave Cloud KMS.
- KMS_KEY_NAME:
Il nome della chiave Cloud KMS. È formattato nel seguente modo:
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
. - KMS_KEY_RING: il nome del keyring Cloud KMS.
- KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta la sezione Identificazione dei progetti.
- ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.
- KMS_KEY_LOCATION: la regione della chiave Cloud KMS.
- KMS_KEY_NAME:
Il nome della chiave Cloud KMS. È formattato nel seguente modo:
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
. - KMS_KEY_RING: il nome del keyring Cloud KMS.
- KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta la sezione Identificazione dei progetti.
- FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.
- ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.
I bucket log di Cloud Logging possono essere configurati per criptare i dati con CMEK. Quando configuri CMEK come impostazione predefinita per un'organizzazione o una cartella, i nuovi bucket log nell'organizzazione o nella cartella utilizzano automaticamente CMEK. Puoi modificare la chiave di questi bucket di log e puoi creare bucket di log che utilizzano una chiave KMS diversa da quella specificata dalle impostazioni predefinite.
Per informazioni su CMEK applicata ai bucket di log, incluso come modificare le chiavi e le limitazioni quando abiliti CMEK in un bucket di log, consulta Configurare CMEK per i bucket di log.
Cloud Storage supporta CMEK per i log di routing. Per istruzioni su come configurare CMEK per Cloud Storage, consulta la sezione Utilizzo delle chiavi di crittografia gestite dal cliente.
Se i dati vengono persi a causa della mancata disponibilità della chiave durante il routing dei dati di log a Cloud Storage, puoi copiare i log in blocco in Cloud Storage in modo retroattivo quando questi log vengono archiviati anche in un bucket di log. Per maggiori dettagli, vedi Copiare le voci di log.
- Per impostazione predefinita, BigQuery cripta i contenuti dei clienti archiviati inattivi. Per maggiori dettagli, consulta Protezione dei dati con le chiavi Cloud Key Management Service.
- Per impostazione predefinita, Pub/Sub cripta i contenuti dei clienti archiviati at-rest. Per maggiori dettagli, vedi Configurazione della crittografia dei messaggi.
- KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta la sezione Identificazione dei progetti.
- KMS_SERVICE_ACCT_NAME: il nome del account di servizio mostrato nel campo
kmsServiceAccountId
della risposta del comandogcloud logging settings describe
. - KMS_KEY_LOCATION: la regione della chiave Cloud KMS.
- KMS_KEY_RING: il nome del keyring Cloud KMS.
- KMS_KEY_NAME:
Il nome della chiave Cloud KMS. È formattato nel seguente modo:
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
. - FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.
- ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.
- La chiave è attivata.
- L'account di servizio elencato nel campo
kmsServiceAccountId
della risposta del comandogcloud logging settings describe
dispone delle autorizzazioni di crittografia e decrittografia sulla chiave.
Attiva CMEK per un'organizzazione o una cartella
Segui queste istruzioni per attivare CMEK per la tua organizzazione o cartellaGoogle Cloud .
Determinare l'ID account di servizio
Per determinare l'ID service account associato all'organizzazione o alla cartella
a cui verrà applicata CMEK, esegui questo
comando gcloud logging settings describe
:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Prima di eseguire il comando precedente, esegui la sostituzione seguente:
ORGANIZZAZIONE
gcloud logging settings describe --organization=ORGANIZATION_ID
Prima di eseguire il comando precedente, esegui la sostituzione seguente:
Il comando precedente genera service account per l'organizzazione
o la cartella, se non esistono. Il comando restituisce anche gli ID di due service account, uno nel campo kmsServiceAccountId
e l'altro nel campo loggingServiceAccountId
. Per configurare CMEK come
impostazione predefinita, utilizza il valore nel campo kmsServiceAccountId
.
Di seguito è illustrato un esempio di risposta al comando precedente quando viene specificata un'organizzazione:
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com name: organizations/ORGANIZATION_ID/settings
Esegui il processo di provisioning una volta per risorsa. L'esecuzione del comando describe
più volte restituisce lo stesso valore per il campo kmsServiceAccountId
.
Se non puoi utilizzare Google Cloud CLI, esegui il metodo
dell'API Cloud Logging getSettings
.
Assegnare il ruolo Crittografo/Decrittografo
Per utilizzare CMEK, concedi all'account di servizio l'autorizzazione a utilizzare Cloud KMS assegnando il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS all'account di servizio:
gcloud
gcloud kms keys add-iam-policy-binding \ --project=KMS_PROJECT_ID \ --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --location=KMS_KEY_LOCATION \ --keyring=KMS_KEY_RING \ KMS_KEY_NAME
Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:
Console
Configura i criteri dell'organizzazione
Logging supporta le policy dell'organizzazione che possono richiedere la protezione CMEK e limitare le CryptoKey Cloud KMS che possono essere utilizzate per la protezione CMEK:
Per ulteriori informazioni su CMEK e sulle policy dell'organizzazione, consulta Policy dell'organizzazione CMEK.
Quando esiste un criterio dell'organizzazione che specifica un vincolo CMEK, assicurati che questi vincoli siano coerenti con le impostazioni predefinite di Logging per un'organizzazione o una cartella. Inoltre, se prevedi di modificare le impostazioni predefinite, prima di aggiornarle, rivedi e, se necessario, aggiorna i criteri dell'organizzazione.
Per visualizzare o configurare i criteri dell'organizzazione:
Configura Cloud Logging con la chiave Cloud KMS
Per configurare CMEK come impostazione predefinita delle risorse per Logging,
esegui il seguente
comando gcloud logging settings update
:
FOLDER
gcloud logging settings update \ --folder=FOLDER_ID \ --kms-location=KMS_KEY_LOCATION \ --kms-key-name=KMS_KEY_NAME \ --kms-keyring=KMS_KEY_RING \ --kms-project=KMS_PROJECT_ID
Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:
Il comando precedente aggiorna le impostazioni predefinite per archiviare le informazioni sulla chiave Cloud KMS. Devi assicurarti che la posizione di archiviazione predefinita per la cartella sia impostata sul valore di KMS_KEY_LOCATION. Se non hai impostato la posizione di archiviazione predefinita o se il valore di questa posizione non corrisponde al valore di KMS_KEY_LOCATION, aggiungi quanto segue al comando precedente:
--storage-location = KMS_KEY_LOCATION
Il flag --storage-location
consente di impostare o aggiornare la
posizione di archiviazione predefinita per la cartella.
ORGANIZZAZIONE
gcloud logging settings update \ --organization=ORGANIZATION_ID \ --kms-location=KMS_KEY_LOCATION \ --kms-key-name=KMS_KEY_NAME \ --kms-keyring=KMS_KEY_RING \ --kms-project=KMS_PROJECT_ID
Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:
Il comando precedente aggiorna le impostazioni predefinite per archiviare le informazioni sulla chiave Cloud KMS. Devi assicurarti che la posizione di archiviazione predefinita per l'organizzazione sia impostata sul valore di KMS_KEY_LOCATION. Se non hai impostato la posizione di archiviazione predefinita o se il valore di questa posizione non corrisponde al valore di KMS_KEY_LOCATION, aggiungi quanto segue al comando precedente:
--storage-location = KMS_KEY_LOCATION
Il flag --storage-location
consente di impostare o aggiornare la
posizione di archiviazione predefinita per l'organizzazione.
Dopo l'applicazione della chiave, i nuovi bucket di log nell'organizzazione o nella cartella
vengono configurati per criptare i dati inattivi utilizzando questa chiave. Puoi anche
modificare le chiavi
per i singoli bucket di log. Non puoi creare bucket di log nella regione global
perché devi utilizzare una chiave la cui regione corrisponda all'ambito regionale dei tuoi dati.
Se non puoi utilizzare Google Cloud CLI, esegui il metodo
dell'API Cloud Logging updateSettings
.
Verifica l'abilitazione della chiave
Per verificare di aver attivato correttamente CMEK per un'organizzazione o
una cartella, esegui il seguente
comando
gcloud logging settings describe
:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Prima di eseguire il comando precedente, esegui la sostituzione seguente:
ORGANIZZAZIONE
gcloud logging settings describe --organization=ORGANIZATION_ID
Prima di eseguire il comando precedente, esegui la sostituzione seguente:
Quando il comando precedente restituisce il nome della chiave Cloud KMS
nel campo kmsKeyName
, CMEK è abilitata per l'organizzazione o la cartella:
kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
Eseguire il routing dei log verso destinazioni supportate
Gestire la chiave Cloud KMS
Le sezioni seguenti spiegano come modificare, revocare l'accesso o disattivare la chiave Cloud KMS.
Modificare la chiave Cloud KMS
Per modificare la chiave Cloud KMS associata a un'organizzazione o a una
cartella, crea una chiave, quindi
esegui il comando
gcloud logging settings update
e fornisci informazioni sulla nuova chiave Cloud KMS:
FOLDER
gcloud logging settings update \ --folder=FOLDER_ID --kms-key-name=NEW_KMS_KEY_NAME --kms-location=NEW_KMS_KEY_LOCATION \ --kms-keyring=NEW_KMS_KEY_RING \ --kms-project=NEW_KMS_PROJECT_ID
Devi assicurarti che la posizione di archiviazione predefinita per la cartella sia impostata sul valore di KMS_KEY_LOCATION. Se non hai impostato la posizione di archiviazione predefinita o se il valore di questa posizione non corrisponde al valore di KMS_KEY_LOCATION, aggiungi quanto segue al comando precedente:
--storage-location = NEW_KMS_KEY_LOCATION
ORGANIZZAZIONE
gcloud logging settings update \ --organization=ORGANIZATION_ID --kms-key-name=NEW_KMS_KEY_NAME --kms-location=NEW_KMS_KEY_LOCATION \ --kms-keyring=NEW_KMS_KEY_RING \ --kms-project=NEW_KMS_PROJECT_ID
Devi assicurarti che la posizione di archiviazione predefinita per l'organizzazione sia impostata sul valore di KMS_KEY_LOCATION. Se non hai impostato la posizione di archiviazione predefinita o se il valore di questa posizione non corrisponde al valore di KMS_KEY_LOCATION, aggiungi quanto segue al comando precedente:
--storage-location = NEW_KMS_KEY_LOCATION
Revoca dell'accesso alla chiave Cloud KMS
Puoi revocare l'accesso di Logging alla chiave Cloud KMS rimuovendo l'autorizzazione IAM dell'account di servizio configurato per quella chiave.
Se rimuovi l'accesso di Logging a una chiave, l'applicazione della modifica può richiedere fino a un'ora.
Per revocare l'accesso di Logging alla chiave Cloud KMS, esegui questo comando Google Cloud CLI:
gcloud kms keys remove-iam-policy-binding \ --project=KMS_PROJECT_ID \ --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --location=KMS_KEY_LOCATION \ --keyring=KMS_KEY_RING \ KMS_KEY_NAME
Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:
Disattivare CMEK
La disattivazione di CMEK per un'organizzazione o una cartella rimuove l'applicazione delle policy CMEK solo per le operazioni future; tutte le configurazioni applicate in precedenza rimangono intatte.
Per disabilitare CMEK su una risorsa per cui è configurata come impostazione predefinita della risorsa, esegui il seguente comando Google Cloud CLI:
FOLDER
gcloud logging settings update --folder=FOLDER_ID --clear-kms-key
Prima di eseguire il comando precedente, esegui la sostituzione seguente:
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key
Prima di eseguire il comando precedente, esegui la sostituzione seguente:
Se vuoi eliminare la chiave, consulta Eliminazione e ripristino delle versioni delle chiavi.
Considerazioni rotazione della chiave Cloud KMS
Cloud Logging non ruota automaticamente la chiave di crittografia per i file di ripristino di emergenza temporanei quando la chiave Cloud KMS associata all'organizzazione o alla cartella ruota. Google Cloud I file di recupero esistenti continuano a utilizzare la versione della chiave con cui sono stati creati. I nuovi file di recupero utilizzano la versione della chiave primaria corrente.
Limitazioni
Di seguito sono riportate le limitazioni note quando configuri CMEK come impostazione predefinita delle risorse per Logging.
Indisponibilità del file di ripristino di emergenza
Una chiave Cloud KMS è considerata disponibile e accessibile da Logging quando sono vere entrambe le seguenti condizioni:
Se Logging perde l'accesso alla chiave Cloud KMS, non è in grado di scrivere file temporanei di ripristino di emergenza e, per gli utenti, le query smettono di funzionare. Le prestazioni delle query potrebbero rimanere degradate anche dopo il ripristino dell'accesso alla chiave.
Anche il routing dei log a Cloud Storage potrebbe essere interessato perché Logging non è in grado di scrivere i file temporanei necessari per facilitare il routing. Se viene rilevato un errore durante la crittografia o la decrittografia dei dati, viene inviata una notifica al progetto Google Cloud che contiene la chiave Cloud KMS.
Disponibilità della libreria client
Le librerie client di Logging non forniscono metodi per configurare CMEK.
Degrado dovuto alla mancata disponibilità della chiave Cloud EKM
Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente nel sistema del partner di gestione delle chiavi esterne.
Quando CMEK è configurata come impostazione predefinita delle risorse per un'organizzazione o una cartella, se una chiave gestita esternamente non è disponibile, allora Cloud Logging tenta continuamente di accedere alla chiave. Cloud Logging memorizza nel buffer anche i dati dei log in entrata per un massimo di un'ora. Dopo un'ora, se Cloud Logging non riesce ancora ad accedere alla chiave gestita esternamente, inizia a eliminare i dati.
Se CMEK viene applicata a un bucket log e se una chiave gestita esternamente non è disponibile, allora Cloud Logging continua ad archiviare i log nei bucket log, ma gli utenti non potranno accedere a questi dati.
Consulta la documentazione di Cloud External Key Manager per ulteriori considerazioni e potenziali alternative quando utilizzi chiavi esterne.
Limitazioni dei bucket dei log
Per le limitazioni quando utilizzi CMEK con i bucket log, consulta Limitazioni.
Quote
Per informazioni dettagliate sui limiti di utilizzo di Logging, consulta Quote e limiti.
Risolvere gli errori di configurazione
Per informazioni sulla risoluzione dei problemi relativi agli errori di configurazione di CMEK, consulta Risolvere i problemi relativi a CMEK e alle impostazioni predefinite.