Cloud Logging deaktivieren

Überblick

In dieser Anleitung wird erläutert, wie Sie eine Einschränkung (constraints/gcp.disableCloudLogging) festlegen, mit der Cloud Logging auf der Ebene einer Organisation, eines Projekts oder eines Ordners deaktiviert wird. Die Einschränkung wirkt sich nicht auf Cloud-Audit-Logs aus. Logs, die vor dem Inkrafttreten der Einschränkung generiert werden, werden nicht gelöscht und können nach dem Inkrafttreten der Einschränkung aufgerufen werden.

Die Einschränkung wird nur in der Cloud Healthcare API unterstützt.

Cloud Logging deaktivieren

Zum Deaktivieren von Cloud Logging benötigen Sie die Rolle Organisationsadministrator (roles/resourcemanager.organizationAdmin). Diese Rolle kann nur auf Organisationsebene gewährt werden. Sie benötigen den Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdminrole), um Organisationsrichtlinien festzulegen oder zu ändern.

Console

So deaktivieren Sie Cloud Logging:

  1. Melden Sie sich in der Google Cloud Console als Super Admin für Google Workspace oder Cloud Identity an und rufen Sie die Seite Organisationsrichtlinien auf:

    Zur Seite "Organisationsrichtlinien"

  2. Klicken Sie auf Auswählen und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie Organisationsrichtlinien aufrufen möchten. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.

  3. Klicken Sie in der angezeigten Richtlinienliste auf Cloud Logging deaktivieren. Die Richtlinie Cloud Logging deaktivieren verwendet die ID constraints/gcp.disableCloudLogging. Auf der Seite Richtliniendetails finden Sie eine Beschreibung der Einschränkung und Informationen darüber, wie die Einschränkung derzeit angewendet wird.

  4. Klicken Sie auf Bearbeiten, um die Organisationsrichtlinie anzupassen.

  5. Wählen Sie auf der Seite Bearbeiten die Option Anpassen aus.

  6. Wählen Sie unter Erzwingung eine Erzwingungsoption aus:

    • Wählen Sie Ein aus, um die Einschränkung zu aktivieren und Cloud Logging zu deaktivieren.
    • Wählen Sie Aus, um die Einschränkung zu deaktivieren und Cloud Logging zu aktivieren.
  7. Klicken Sie auf Speichern.

gcloud

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab:

    gcloud beta resource-manager org-policies describe \
      constraints/gcp.disableCloudLogging --organization ORGANIZATION_ID
    

    Dabei ist ORGANIZATION_ID die eindeutige Kennzeichnung der Organisationsressource. Sie können die Organisationsrichtlinie mit dem Flag --folder oder --project und der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.

    Da keine Richtlinie festgelegt wurde, wird eine unvollständige Richtlinie wie im folgenden Beispiel zurückgegeben:

    booleanPolicy: {}
    constraint: "constraints/gcp.disableCloudLogging"
    
  2. Legen Sie die Richtlinie, die für die Organisation erzwungen werden soll, mit dem Befehl enable-enforce fest:

    gcloud beta resource-manager org-policies enable-enforce \
      constraints/gcp.disableCloudLogging --organization ORGANIZATION_ID
    

    Nach der Ausführung des Befehls wird folgende Ausgabe angezeigt:

    booleanPolicy:
      enforced: true
    constraint: constraints/gcp.disableCloudLogging
    etag: BwVJitxdiwY=
    
  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf:

    gcloud beta resource-manager org-policies describe \
      constraints/gcp.disableCloudLogging --effective \
      --organization ORGANIZATION_ID
    

    Nach der Ausführung des Befehls wird folgende Ausgabe angezeigt:

    booleanPolicy:
      enforced: true
    constraint: constraints/gcp.disableCloudLogging
    

Nächste Schritte

Weitere Informationen zum Erstellen einer Organisationsrichtlinie mit einer bestimmten Einschränkung finden Sie unter Einschränkungen verwenden.