Désactiver Cloud Logging

Aperçu

Ce guide explique comment définir une contrainte (constraints/gcp.disableCloudLogging) qui désactive Cloud Logging au niveau d'une organisation, d'un projet ou d'un dossier. La contrainte n'affecte pas les journaux Cloud Audit Les journaux générés avant l'application de la contrainte ne sont pas supprimés et sont accessibles une fois la contrainte appliquée.

La contrainte n'est compatible qu'avec l'API Cloud Healthcare.

Désactiver Cloud Logging

Pour désactiver Cloud Logging, vous devez disposer du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin). Vous pouvez uniquement attribuer ce rôle au niveau de l'entreprise. Vous devez disposer du rôle Administrateur des règles de l'organisation (roles/orgpolicy.policyAdminrole) pour définir ou modifier des règles d'administration.

Console

Pour désactiver Cloud Logging, procédez comme suit :

  1. Connectez-vous à Google Cloud Console en tant que super-administrateur Google Workspace ou Cloud Identity, puis accédez à la page Règles d'administration :

    Accédez à la page "Règles d'administration".

  2. Cliquez sur Sélectionner, puis sélectionnez le projet, le dossier ou l'organisation pour lequel vous souhaitez afficher les règles d'administration. La page Règles d'administration affiche la liste des contraintes de règles d'administration disponibles.

  3. Dans la liste des règles qui s'affiche, cliquez sur Désactiver Cloud Logging. La règle Désactiver Cloud Logging utilise l'ID constraints/gcp.disableCloudLogging. La page Détails des règles qui s'affiche décrit la contrainte et fournit des informations sur son application actuelle.

  4. Pour personnaliser la règle d'administration, cliquez sur Modifier.

  5. Sur la page Modifier, sélectionnez Personnaliser.

  6. Sous Application, sélectionnez une option d'application :

    • Pour activer la contrainte et désactiver Cloud Logging, sélectionnez Activé.
    • Pour désactiver la contrainte et activer Cloud Logging, sélectionnez Désactivé.
  7. Cliquez sur Save.

gcloud

  1. Obtenez la règle actuelle pour la ressource Organisation en utilisant la commande describe :

    gcloud beta resource-manager org-policies describe \
      constraints/gcp.disableCloudLogging --organization ORGANIZATION_ID
    

    ORGANIZATION_ID est l'identifiant unique de la ressource d'organisation. Vous pouvez également appliquer la règle d'administration à un dossier ou à un projet avec les options --folder ou --project, ainsi qu'avec l'ID de dossier et l'ID de projet, respectivement.

    Comme aucune règle n'est définie, une règle incomplète est affichée, comme dans l'exemple suivant :

    booleanPolicy: {}
    constraint: "constraints/gcp.disableCloudLogging"
    
  2. Définissez la règle à appliquer à l'organisation à l'aide de la commande enable-enforce :

    gcloud beta resource-manager org-policies enable-enforce \
      constraints/gcp.disableCloudLogging --organization ORGANIZATION_ID
    

    Après l'exécution de la commande, le résultat suivant s'affiche :

    booleanPolicy:
      enforced: true
    constraint: constraints/gcp.disableCloudLogging
    etag: BwVJitxdiwY=
    
  3. Affichez la règle actuellement en vigueur à l'aide de la commande describe --effective :

    gcloud beta resource-manager org-policies describe \
      constraints/gcp.disableCloudLogging --effective \
      --organization ORGANIZATION_ID
    

    Après l'exécution de la commande, le résultat suivant s'affiche :

    booleanPolicy:
      enforced: true
    constraint: constraints/gcp.disableCloudLogging
    

Étape suivante

Pour en savoir plus sur la création d'une règle d'administration avec une contrainte particulière, consultez la page Utiliser des contraintes.