Übersicht
In dieser Anleitung wird erläutert, wie Sie eine Einschränkung (constraints/gcp.disableCloudLogging
) festlegen, mit der Cloud Logging für die Cloud Healthcare API auf der Ebene einer Organisation, eines Projekts oder eines Ordners deaktiviert wird.
Die Einschränkung wirkt sich nicht auf Cloud-Audit-Logs aus. Logs, die vor dem Inkrafttreten der Einschränkung generiert werden, werden nicht gelöscht und können nach dem Inkrafttreten der Einschränkung aufgerufen werden.
Cloud Logging für die Cloud Healthcare API deaktivieren
Wenn Sie Cloud Logging für die Cloud Healthcare API deaktivieren möchten, benötigen Sie die Rolle Organisationsadministrator (roles/resourcemanager.organizationAdmin
). Diese Rolle kann nur auf Organisationsebene gewährt werden. Sie benötigen den Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdminrole
), um Organisationsrichtlinien festzulegen oder zu ändern.
Console
So deaktivieren Sie Cloud Logging für die Cloud Healthcare API:
Melden Sie sich in der Google Cloud Console als Super Admin für Google Workspace oder Cloud Identity an und rufen Sie die Seite Organisationsrichtlinien auf:
Klicken Sie auf Auswählen und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie Organisationsrichtlinien aufrufen möchten. Auf der Seite Organisationsrichtlinien wird eine filterbare Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.
Wählen Sie in der angezeigten Richtlinienliste Cloud Logging für die Cloud Healthcare API deaktivieren aus. Die Richtlinie Cloud Logging für die Cloud Healthcare API deaktivieren verwendet die ID
constraints/gcp.disableCloudLogging
. Auf der Seite Richtliniendetails finden Sie eine Beschreibung der Einschränkung und Informationen darüber, wie die Einschränkung derzeit angewendet wird.Klicken Sie auf Richtlinie verwalten, um die Organisationsrichtlinie zu aktualisieren.
Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Erzwingung eine Erzwingungsoption aus:
- Wählen Sie Ein aus, um die Einschränkung zu aktivieren und Cloud Logging für die Cloud Healthcare API zu deaktivieren.
- Wählen Sie Aus aus, um die Einschränkung zu deaktivieren und Cloud Logging für die Cloud Healthcare API zu aktivieren.
Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.
gcloud
Rufen Sie mit dem Befehl
describe
die aktuelle Richtlinie für die Organisationsressource ab:gcloud org-policies describe gcp.disableCloudLogging \ --organization=ORGANIZATION_ID
Ersetzen Sie ORGANIZATION_ID durch die eindeutige Kennung der Organisationsressource. Sie können die Organisationsrichtlinie mit dem Flag
--folder
oder--project
und der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.Da keine Richtlinie festgelegt wurde, wird der Fehler
NOT_FOUND
zurückgegeben:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
Legen Sie die Richtlinie für die Organisation mit dem Befehl
set-policy
fest.Erstellen Sie die temporäre Datei
/tmp/policy.yaml
zum Speichern der Richtlinie:name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging spec: rules: - enforce: true
Führen Sie den Befehl
set-policy
aus:gcloud org-policies set-policy /tmp/policy.yaml
Rufen Sie die aktuell geltende Richtlinie mit dem Befehl
describe --effective
auf:gcloud org-policies describe \ gcp.disableCloudLogging --effective \ --organization=ORGANIZATION_ID
Nach der Ausführung des Befehls wird folgende Ausgabe angezeigt:
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging spec: rules: - enforce: true
Nächste Schritte
Weitere Informationen zum Erstellen einer Organisationsrichtlinie mit einer bestimmten Einschränkung finden Sie unter Einschränkungen verwenden.