Überblick
In dieser Anleitung wird erläutert, wie Sie eine Einschränkung (constraints/gcp.disableCloudLogging) festlegen, mit der Cloud Logging für die Cloud Healthcare API auf Ebene einer Organisation, eines Projekts oder eines Ordners deaktiviert wird.
Die Einschränkung wirkt sich nicht auf Cloud-Audit-Logs aus. Logs, die vor dem Inkrafttreten der Einschränkung generiert werden, werden nicht gelöscht und können nach dem Inkrafttreten der Einschränkung aufgerufen werden.
Cloud Logging für die Cloud Healthcare API deaktivieren
Zum Deaktivieren von Cloud Logging für die Cloud Healthcare API benötigen Sie die Rolle Organization Administrator (roles/resourcemanager.organizationAdmin). Diese Rolle kann nur auf Organisationsebene gewährt werden. Sie benötigen den Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdminrole), um Organisationsrichtlinien festzulegen oder zu ändern.
Console
So deaktivieren Sie Cloud Logging für die Cloud Healthcare API:
Melden Sie sich als Google Workspace- oder Cloud Identity-Super Admin in der Google Cloud Console an und rufen Sie die Seite Organisationsrichtlinien auf:
Klicken Sie auf Auswählen und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die Sie Organisationsrichtlinien aufrufen möchten. Auf der Seite Organisationsrichtlinien wird eine filterbare Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.
Wählen Sie in der angezeigten Liste die Option Cloud Logging für die Cloud Healthcare API deaktivieren aus. In der Richtlinie Cloud Logging for Cloud Healthcare API deaktivieren wird die ID
constraints/gcp.disableCloudLoggingverwendet. Auf der Seite Richtliniendetails werden eine Beschreibung der Einschränkung und Informationen dazu angezeigt, wie die Einschränkung angewendet wird.Klicken Sie zum Aktualisieren der Organisationsrichtlinie auf Richtlinie verwalten.
Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Erzwingung eine Erzwingungsoption aus:
- Wählen Sie Ein aus, um die Einschränkung zu aktivieren und Cloud Logging für die Cloud Healthcare API zu deaktivieren.
- Wählen Sie Aus, um die Einschränkung zu deaktivieren und Cloud Logging für die Cloud Healthcare API zu aktivieren.
Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.
gcloud
Rufen Sie mit dem Befehl
describedie aktuelle Richtlinie für die Organisationsressource ab:gcloud beta resource-manager org-policies describe \ constraints/gcp.disableCloudLogging --organization ORGANIZATION_ID
Dabei ist ORGANIZATION_ID die eindeutige Kennzeichnung der Organisationsressource. Sie können die Organisationsrichtlinie mit dem Flag
--folderoder--projectund der entsprechenden Ordner-ID bzw. Projekt-ID auch auf einen Ordner oder ein Projekt anwenden.Da keine Richtlinie festgelegt wurde, wird eine unvollständige Richtlinie wie im folgenden Beispiel zurückgegeben:
booleanPolicy: {} constraint: "constraints/gcp.disableCloudLogging"Legen Sie die Richtlinie, die für die Organisation erzwungen werden soll, mit dem Befehl
enable-enforcefest:gcloud beta resource-manager org-policies enable-enforce \ constraints/gcp.disableCloudLogging --organization ORGANIZATION_ID
Nach der Ausführung des Befehls wird folgende Ausgabe angezeigt:
booleanPolicy: enforced: true constraint: constraints/gcp.disableCloudLogging etag: BwVJitxdiwY=
Rufen Sie die aktuell geltende Richtlinie mit
describe --effectiveauf:gcloud beta resource-manager org-policies describe \ constraints/gcp.disableCloudLogging --effective \ --organization ORGANIZATION_ID
Nach der Ausführung des Befehls wird folgende Ausgabe angezeigt:
booleanPolicy: enforced: true constraint: constraints/gcp.disableCloudLogging
Nächste Schritte
Weitere Informationen zum Erstellen einer Organisationsrichtlinie mit einer bestimmten Einschränkung finden Sie unter Einschränkungen verwenden.