Configura CMEK per Cloud Logging

Questo documento descrive come configurare e gestire le chiavi di crittografia gestite dal cliente (CMEK) per Cloud Logging per soddisfare le esigenze di conformità della tua organizzazione. Puoi configurare CMEK come impostazione predefinita delle risorse per un'organizzazione, una cartella o per entrambe. Una volta configurato, Cloud Logging garantisce che tutti i nuovi bucket di log nell'organizzazione o nella cartella siano criptati con una chiave gestita dal cliente.

Puoi configurare le impostazioni predefinite per un'organizzazione e per le cartelle. Quando crei nuove risorse, queste ereditano le impostazioni predefinite dell'elemento principale. Ad esempio, se configuri CMEK come impostazione predefinita della risorsa per un'organizzazione, tutti i nuovi bucket di log _Default e _Required creati in progetti, cartelle o account di fatturazione in quell'organizzazione vengono criptati con la chiave predefinita. Inoltre, se crei un bucket di log personalizzato in un progetto figlio di quell'organizzazione, la chiave predefinita viene utilizzata automaticamente a meno che tu non fornisca una chiave diversa durante la creazione del bucket di log.

Le istruzioni di questa guida utilizzano Google Cloud CLI.

Panoramica

Per impostazione predefinita, Cloud Logging cripta i contenuti dei clienti archiviati inattivi. I dati archiviati nei bucket dei log da Logging vengono criptati utilizzando chiavi di crittografia della chiave, un processo noto come crittografia envelope. L'accesso ai dati di logging richiede l'accesso a queste chiavi di crittografia delle chiavi. Per impostazione predefinita, questi sono Google-owned and Google-managed encryption keys e non richiedono alcuna azione da parte tua.

La tua organizzazione potrebbe avere requisiti normativi, di conformità o di crittografia avanzata che la nostra crittografia at-rest predefinita non fornisce. Per soddisfare i requisiti della tua organizzazione, anziché utilizzare Google-owned and Google-managed encryption keys, puoi configurare CMEK per controllare e gestire la tua crittografia.

Per informazioni specifiche su CMEK, inclusi vantaggi e limitazioni, consulta Chiavi di crittografia gestite dal cliente.

Quando configuri CMEK come impostazione predefinita delle risorse per Logging, si verifica quanto segue:

  • I nuovi bucket dei log nell'organizzazione o nella cartella vengono criptati automaticamente con la chiave configurata. Tuttavia, puoi modificare la chiave o creare bucket di log e specificare una chiave diversa. Per maggiori informazioni, consulta la sezione Configurare CMEK per i bucket di log.
  • Se utilizzi Analisi dei log ed esegui query su più bucket di log, la chiave predefinita potrebbe essere utilizzata per criptare i dati temporanei. Per ulteriori informazioni, vedi Limitazioni di Log Analytics.

Prima di iniziare

Per iniziare, completa i seguenti passaggi:

  1. Prima di creare un bucket log con CMEK abilitata, esamina le limitazioni.

  2. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  3. Configura il progetto Google Cloud in cui prevedi di creare le chiavi:

    1. Per ottenere le autorizzazioni necessarie per creare chiavi, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

      Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

    2. Abilita l'API Cloud KMS.

    3. Crea una chiave automatizzata e chiavi.

      Cloud Logging consente di utilizzare una chiave di qualsiasi regione. Tuttavia, quando crei un bucket dei log, la posizione del bucket dei log deve corrispondere a quella della chiave. Per informazioni sulle regioni supportate, consulta quanto segue:

      Se configuri CMEK come impostazione predefinita della risorsa per Logging utilizzando i passaggi descritti in questo documento, i nuovi bucket log creati nell'organizzazione o nella cartella vengono configurati automaticamente per CMEK. Inoltre, poiché la posizione di un bucket di log deve corrispondere alla posizione della chiave, dopo aver configurato CMEK come impostazione predefinita della risorsa, non puoi creare bucket di log nella regione global.

  4. Assicurati che il tuo ruolo IAM nell'organizzazione o nella cartella di cui vuoi configurare le impostazioni predefinite includa le seguenti autorizzazioni Cloud Logging:

    • logging.settings.get
    • logging.settings.update
  5. Attiva CMEK per un'organizzazione o una cartella

    Segui queste istruzioni per attivare CMEK per la tua organizzazione o cartellaGoogle Cloud .

    Determinare l'ID account di servizio

    Per determinare l'ID service account associato all'organizzazione o alla cartella a cui verrà applicata CMEK, esegui questo comando gcloud logging settings describe:

    FOLDER

     gcloud logging settings describe --folder=FOLDER_ID
    

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.

    ORGANIZZAZIONE

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.

    Il comando precedente genera service account per l'organizzazione o la cartella, se non esistono. Il comando restituisce anche gli ID di due service account, uno nel campo kmsServiceAccountId e l'altro nel campo loggingServiceAccountId. Per configurare CMEK come impostazione predefinita, utilizza il valore nel campo kmsServiceAccountId.

    Di seguito è illustrato un esempio di risposta al comando precedente quando viene specificata un'organizzazione:

    kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
    loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
    name: organizations/ORGANIZATION_ID/settings
    

    Esegui il processo di provisioning una volta per risorsa. L'esecuzione del comando describe più volte restituisce lo stesso valore per il campo kmsServiceAccountId.

    Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging getSettings.

    Assegnare il ruolo Crittografo/Decrittografo

    Per utilizzare CMEK, concedi all'account di servizio l'autorizzazione a utilizzare Cloud KMS assegnando il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS all'account di servizio:

    gcloud

    gcloud kms keys add-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

    Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:

    • KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta la sezione Identificazione dei progetti.
    • KMS_SERVICE_ACCT_NAME: il nome del account di servizio mostrato nel campo kmsServiceAccountId della risposta del comando gcloud logging settings describe.
    • KMS_KEY_LOCATION: la regione della chiave Cloud KMS.
    • KMS_KEY_RING: il nome del keyring Cloud KMS.
    • KMS_KEY_NAME: Il nome della chiave Cloud KMS. È formattato nel seguente modo: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

    Console

    1. Nella console Google Cloud , vai alla pagina Gestione delle chiavi.

      Vai a Gestione chiavi

    2. Seleziona il nome del keyring che contiene la chiave.

    3. Seleziona la casella di controllo relativa alla chiave.

      La scheda Autorizzazioni diventa disponibile.

    4. Nella finestra di dialogo Aggiungi membri, specifica l'indirizzo email dell'account di servizio Logging a cui stai concedendo l'accesso.

    5. Nel menu a discesa Seleziona un ruolo, seleziona Cloud KMS CryptoKey Encrypter/Decrypter.

    6. Fai clic su Aggiungi.

    Configura i criteri dell'organizzazione

    Logging supporta le policy dell'organizzazione che possono richiedere la protezione CMEK e limitare le CryptoKey Cloud KMS che possono essere utilizzate per la protezione CMEK:

    • Quando logging.googleapis.com si trova nell'elenco dei servizi dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, Logging rifiuta di creare nuovi bucket definiti dall'utente che non sono protetti da CMEK. Tuttavia, questo vincolo non impedisce a Cloud Logging di creare i bucket di log _Required e _Default, che vengono creati quando viene creato un progetto Google Cloud .

    • Quando viene applicato constraints/gcp.restrictCmekCryptoKeyProjects, Logging crea risorse protette da CMEK protette da una CryptoKey di un progetto, una cartella o un'organizzazione consentiti.

    Per ulteriori informazioni su CMEK e sulle policy dell'organizzazione, consulta Policy dell'organizzazione CMEK.

    Quando esiste un criterio dell'organizzazione che specifica un vincolo CMEK, assicurati che questi vincoli siano coerenti con le impostazioni predefinite di Logging per un'organizzazione o una cartella. Inoltre, se prevedi di modificare le impostazioni predefinite, prima di aggiornarle, rivedi e, se necessario, aggiorna i criteri dell'organizzazione.

    Per visualizzare o configurare i criteri dell'organizzazione:

    1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione:

      Vai a Policy dell'organizzazione

      Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.

    2. Seleziona la tua organizzazione.
    3. Verifica e, se necessario, aggiorna i vincoli specifici di CMEK.

      Per informazioni su come modificare una norma dell'organizzazione, vedi Creare e modificare le norme.

    Configura Cloud Logging con la chiave Cloud KMS

    Per configurare CMEK come impostazione predefinita delle risorse per Logging, esegui il seguente comando gcloud logging settings update:

    FOLDER

    gcloud logging settings update \
        --folder=FOLDER_ID \
        --kms-location=KMS_KEY_LOCATION \
        --kms-key-name=KMS_KEY_NAME \
        --kms-keyring=KMS_KEY_RING \
        --kms-project=KMS_PROJECT_ID
    

    Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:

    • FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.
    • KMS_KEY_LOCATION: la regione della chiave Cloud KMS.
    • KMS_KEY_NAME: Il nome della chiave Cloud KMS. È formattato nel seguente modo: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
    • KMS_KEY_RING: il nome del keyring Cloud KMS.
    • KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta la sezione Identificazione dei progetti.

    Il comando precedente aggiorna le impostazioni predefinite per archiviare le informazioni sulla chiave Cloud KMS. Devi assicurarti che la posizione di archiviazione predefinita per la cartella sia impostata sul valore di KMS_KEY_LOCATION. Se non hai impostato la posizione di archiviazione predefinita o se il valore di questa posizione non corrisponde al valore di KMS_KEY_LOCATION, aggiungi quanto segue al comando precedente:

    --storage-location = KMS_KEY_LOCATION
    

    Il flag --storage-location consente di impostare o aggiornare la posizione di archiviazione predefinita per la cartella.

    ORGANIZZAZIONE

    gcloud logging settings update \
        --organization=ORGANIZATION_ID \
        --kms-location=KMS_KEY_LOCATION \
        --kms-key-name=KMS_KEY_NAME \
        --kms-keyring=KMS_KEY_RING \
        --kms-project=KMS_PROJECT_ID
    

    Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:

    • ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.
    • KMS_KEY_LOCATION: la regione della chiave Cloud KMS.
    • KMS_KEY_NAME: Il nome della chiave Cloud KMS. È formattato nel seguente modo: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
    • KMS_KEY_RING: il nome del keyring Cloud KMS.
    • KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta la sezione Identificazione dei progetti.

    Il comando precedente aggiorna le impostazioni predefinite per archiviare le informazioni sulla chiave Cloud KMS. Devi assicurarti che la posizione di archiviazione predefinita per l'organizzazione sia impostata sul valore di KMS_KEY_LOCATION. Se non hai impostato la posizione di archiviazione predefinita o se il valore di questa posizione non corrisponde al valore di KMS_KEY_LOCATION, aggiungi quanto segue al comando precedente:

    --storage-location = KMS_KEY_LOCATION
    

    Il flag --storage-location consente di impostare o aggiornare la posizione di archiviazione predefinita per l'organizzazione.

    Dopo l'applicazione della chiave, i nuovi bucket di log nell'organizzazione o nella cartella vengono configurati per criptare i dati inattivi utilizzando questa chiave. Puoi anche modificare le chiavi per i singoli bucket di log. Non puoi creare bucket di log nella regione global perché devi utilizzare una chiave la cui regione corrisponda all'ambito regionale dei tuoi dati.

    Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging updateSettings.

    Verifica l'abilitazione della chiave

    Per verificare di aver attivato correttamente CMEK per un'organizzazione o una cartella, esegui il seguente comando gcloud logging settings describe:

    FOLDER

    gcloud logging settings describe --folder=FOLDER_ID

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.

    ORGANIZZAZIONE

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.

    Quando il comando precedente restituisce il nome della chiave Cloud KMS nel campo kmsKeyName, CMEK è abilitata per l'organizzazione o la cartella:

    kmsKeyName: KMS_KEY_NAME
    kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
    loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
    

    Eseguire il routing dei log verso destinazioni supportate

    • I bucket log di Cloud Logging possono essere configurati per criptare i dati con CMEK. Quando configuri CMEK come impostazione predefinita per un'organizzazione o una cartella, i nuovi bucket log nell'organizzazione o nella cartella utilizzano automaticamente CMEK. Puoi modificare la chiave di questi bucket di log e puoi creare bucket di log che utilizzano una chiave KMS diversa da quella specificata dalle impostazioni predefinite.

      Per informazioni su CMEK applicata ai bucket di log, incluso come modificare le chiavi e le limitazioni quando abiliti CMEK in un bucket di log, consulta Configurare CMEK per i bucket di log.

    • Cloud Storage supporta CMEK per i log di routing. Per istruzioni su come configurare CMEK per Cloud Storage, consulta la sezione Utilizzo delle chiavi di crittografia gestite dal cliente.

      Se i dati vengono persi a causa della mancata disponibilità della chiave durante il routing dei dati di log a Cloud Storage, puoi copiare i log in blocco in Cloud Storage in modo retroattivo quando questi log vengono archiviati anche in un bucket di log. Per maggiori dettagli, vedi Copiare le voci di log.

    Gestire la chiave Cloud KMS

    Le sezioni seguenti spiegano come modificare, revocare l'accesso o disattivare la chiave Cloud KMS.

    Modificare la chiave Cloud KMS

    Per modificare la chiave Cloud KMS associata a un'organizzazione o a una cartella, crea una chiave, quindi esegui il comando gcloud logging settings update e fornisci informazioni sulla nuova chiave Cloud KMS:

    FOLDER

    gcloud logging settings update \
        --folder=FOLDER_ID
        --kms-key-name=NEW_KMS_KEY_NAME
        --kms-location=NEW_KMS_KEY_LOCATION \
        --kms-keyring=NEW_KMS_KEY_RING \
        --kms-project=NEW_KMS_PROJECT_ID

    Devi assicurarti che la posizione di archiviazione predefinita per la cartella sia impostata sul valore di KMS_KEY_LOCATION. Se non hai impostato la posizione di archiviazione predefinita o se il valore di questa posizione non corrisponde al valore di KMS_KEY_LOCATION, aggiungi quanto segue al comando precedente:

    --storage-location = NEW_KMS_KEY_LOCATION
    

    ORGANIZZAZIONE

    gcloud logging settings update \
        --organization=ORGANIZATION_ID
        --kms-key-name=NEW_KMS_KEY_NAME
        --kms-location=NEW_KMS_KEY_LOCATION \
        --kms-keyring=NEW_KMS_KEY_RING \
        --kms-project=NEW_KMS_PROJECT_ID

    Devi assicurarti che la posizione di archiviazione predefinita per l'organizzazione sia impostata sul valore di KMS_KEY_LOCATION. Se non hai impostato la posizione di archiviazione predefinita o se il valore di questa posizione non corrisponde al valore di KMS_KEY_LOCATION, aggiungi quanto segue al comando precedente:

    --storage-location = NEW_KMS_KEY_LOCATION
    

    Revoca dell'accesso alla chiave Cloud KMS

    Puoi revocare l'accesso di Logging alla chiave Cloud KMS rimuovendo l'autorizzazione IAM dell'account di servizio configurato per quella chiave.

    Se rimuovi l'accesso di Logging a una chiave, l'applicazione della modifica può richiedere fino a un'ora.

    Per revocare l'accesso di Logging alla chiave Cloud KMS, esegui questo comando Google Cloud CLI:

    gcloud kms keys remove-iam-policy-binding \
        --project=KMS_PROJECT_ID \
        --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
        --location=KMS_KEY_LOCATION \
        --keyring=KMS_KEY_RING \
        KMS_KEY_NAME

    Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:

    • KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta la sezione Identificazione dei progetti.
    • KMS_SERVICE_ACCT_NAME: il nome del account di servizio mostrato nel campo kmsServiceAccountId della risposta del comando gcloud logging settings describe.
    • KMS_KEY_LOCATION: la regione della chiave Cloud KMS.
    • KMS_KEY_RING: il nome del keyring Cloud KMS.
    • KMS_KEY_NAME: Il nome della chiave Cloud KMS. È formattato nel seguente modo: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

    Disattivare CMEK

    La disattivazione di CMEK per un'organizzazione o una cartella rimuove l'applicazione delle policy CMEK solo per le operazioni future; tutte le configurazioni applicate in precedenza rimangono intatte.

    Per disabilitare CMEK su una risorsa per cui è configurata come impostazione predefinita della risorsa, esegui il seguente comando Google Cloud CLI:

    FOLDER

    gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.

    ORGANIZZAZIONE

    gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.

    Se vuoi eliminare la chiave, consulta Eliminazione e ripristino delle versioni delle chiavi.

    Considerazioni rotazione della chiave Cloud KMS

    Cloud Logging non ruota automaticamente la chiave di crittografia per i file di ripristino di emergenza temporanei quando la chiave Cloud KMS associata all'organizzazione o alla cartella ruota. Google Cloud I file di recupero esistenti continuano a utilizzare la versione della chiave con cui sono stati creati. I nuovi file di recupero utilizzano la versione della chiave primaria corrente.

    Limitazioni

    Di seguito sono riportate le limitazioni note quando configuri CMEK come impostazione predefinita delle risorse per Logging.

    Indisponibilità del file di ripristino di emergenza

    Una chiave Cloud KMS è considerata disponibile e accessibile da Logging quando sono vere entrambe le seguenti condizioni:

    • La chiave è attivata.
    • L'account di servizio elencato nel campo kmsServiceAccountId della risposta del comando gcloud logging settings describe dispone delle autorizzazioni di crittografia e decrittografia sulla chiave.

    Se Logging perde l'accesso alla chiave Cloud KMS, non è in grado di scrivere file temporanei di ripristino di emergenza e, per gli utenti, le query smettono di funzionare. Le prestazioni delle query potrebbero rimanere degradate anche dopo il ripristino dell'accesso alla chiave.

    Anche il routing dei log a Cloud Storage potrebbe essere interessato perché Logging non è in grado di scrivere i file temporanei necessari per facilitare il routing. Se viene rilevato un errore durante la crittografia o la decrittografia dei dati, viene inviata una notifica al progetto Google Cloud che contiene la chiave Cloud KMS.

    Disponibilità della libreria client

    Le librerie client di Logging non forniscono metodi per configurare CMEK.

    Degrado dovuto alla mancata disponibilità della chiave Cloud EKM

    Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente nel sistema del partner di gestione delle chiavi esterne.

    Quando CMEK è configurata come impostazione predefinita delle risorse per un'organizzazione o una cartella, se una chiave gestita esternamente non è disponibile, allora Cloud Logging tenta continuamente di accedere alla chiave. Cloud Logging memorizza nel buffer anche i dati dei log in entrata per un massimo di un'ora. Dopo un'ora, se Cloud Logging non riesce ancora ad accedere alla chiave gestita esternamente, inizia a eliminare i dati.

    Se CMEK viene applicata a un bucket log e se una chiave gestita esternamente non è disponibile, allora Cloud Logging continua ad archiviare i log nei bucket log, ma gli utenti non potranno accedere a questi dati.

    Consulta la documentazione di Cloud External Key Manager per ulteriori considerazioni e potenziali alternative quando utilizzi chiavi esterne.

    Limitazioni dei bucket dei log

    Per le limitazioni quando utilizzi CMEK con i bucket log, consulta Limitazioni.

    Quote

    Per informazioni dettagliate sui limiti di utilizzo di Logging, consulta Quote e limiti.

    Risolvere gli errori di configurazione

    Per informazioni sulla risoluzione dei problemi relativi agli errori di configurazione di CMEK, consulta Risolvere i problemi relativi a CMEK e alle impostazioni predefinite.