概览
本指南介绍如何设置在组织、项目或文件夹层级停用 Cloud Healthcare API 的 Cloud Logging 的限制条件(constraints/gcp.disableCloudLogging
)。限制条件不会影响 Cloud Audit Logs。在限制条件生效之前生成的日志不会被删除,并且可以在限制条件生效后访问。
为 Cloud Healthcare API 停用 Cloud Logging
如需为 Cloud Healthcare API 停用 Cloud Logging,您必须具有 Organization Administrator (roles/resourcemanager.organizationAdmin
) 角色。此角色只能在组织层级授予。您必须具有 Organization Policy Administrator (roles/orgpolicy.policyAdminrole
) 角色才能设置或更改组织政策。
控制台
如需为 Cloud Healthcare API 停用 Cloud Logging,请执行以下操作:
以 Google Workspace 或 Cloud Identity 超级用户身份登录 Google Cloud 控制台,然后前往组织政策页面:
点击选择,然后选择要查看其组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的可过滤列表。
在显示的政策列表中,选择为 Cloud Healthcare API 停用 Cloud Logging。针对 Cloud Healthcare API 停用 Cloud Logging 政策使用
constraints/gcp.disableCloudLogging
ID。随即显示的政策详情页面会描述该限制条件,并提供有关如何应用该限制条件的信息。如需更新组织政策,请点击管理政策。
在修改政策页面,选择覆盖父资源的政策。
点击添加规则。
在强制执行下,选择强制执行选项:
- 如需为 Cloud Healthcare API 启用限制条件并停用 Cloud Logging,请选择开启。
- 如需停用限制条件并为 Cloud Healthcare API 启用 Cloud Logging,请选择关闭。
如需强制执行政策,请点击设置政策。
gcloud
使用
describe
命令获取组织资源的当前政策:gcloud org-policies describe gcp.disableCloudLogging \ --organization=ORGANIZATION_ID
将 ORGANIZATION_ID 替换为组织资源的唯一标识符。您还可以将组织政策应用于分别带有
--folder
或--project
标志以及文件夹 ID 和项目 ID 的文件夹或项目。由于未设置政策,因此会返回
NOT_FOUND
错误:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
使用
set-policy
命令针对组织设置政策。创建临时文件
/tmp/policy.yaml
以存储政策:name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging spec: rules: - enforce: true
运行
set-policy
命令:gcloud org-policies set-policy /tmp/policy.yaml
使用
describe --effective
命令查看当前的有效政策:gcloud org-policies describe \ gcp.disableCloudLogging --effective \ --organization=ORGANIZATION_ID
运行该命令后,将显示以下输出:
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging spec: rules: - enforce: true
后续步骤
如需详细了解如何创建具有特定限制条件的组织政策,请参阅使用限制条件。