概览
本指南介绍了如何设置限制条件 (constraints/gcp.disableCloudLogging)
停用
适用于组织级层的 Cloud Healthcare API 的 Cloud Logging;
项目或文件夹
限制条件不会影响 Cloud Audit Logs。在限制条件生效之前生成的日志不会被删除,并且可以在限制条件生效后访问。
为 Cloud Healthcare API 停用 Cloud Logging
如需为 Cloud Healthcare API 停用 Cloud Logging,您必须具有 Organization Administrator (roles/resourcemanager.organizationAdmin) 角色。此角色只能在组织层级授予。您必须具有 Organization Policy Administrator (roles/orgpolicy.policyAdminrole) 角色才能设置或更改组织政策。
控制台
如需为 Cloud Healthcare API 停用 Cloud Logging,请执行以下操作:
以 Google Workspace 或 Cloud Identity 的身份登录 Google Cloud 控制台 超级用户,然后转到组织政策页面:
点击选择,然后选择要查看其组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的可过滤列表。
在显示的政策列表中,选择 为 Cloud Healthcare API 停用 Cloud Logging。通过 为 Cloud Healthcare API 停用 Cloud Logging 政策使用
constraints/gcp.disableCloudLoggingID。随即显示的政策详情页面会描述该限制条件,并提供有关如何应用该限制条件的信息。如需更新组织政策,请点击管理政策。
在修改政策页面,选择覆盖父资源的政策。
点击添加规则。
在强制执行下,选择强制执行选项:
- 要启用限制条件并停用 Cloud Logging, 在 Cloud Healthcare API 中选择开启。
- 要停用该限制条件并启用 Cloud Logging,请执行以下操作: 请选择Cloud Healthcare API。
如需强制执行政策,请点击设置政策。
gcloud
使用
describe命令获取组织资源的当前政策:gcloud org-policies describe gcp.disableCloudLogging \ --organization=ORGANIZATION_ID将 ORGANIZATION_ID 替换为组织资源的唯一标识符。您还可以将组织政策应用于分别带有
--folder或--project标志以及文件夹 ID 和项目 ID 的文件夹或项目。由于未设置政策,因此会返回
NOT_FOUND错误:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.使用
set-policy命令为组织设置政策。创建临时文件
/tmp/policy.yaml以存储政策:name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging spec: rules: - enforce: true运行
set-policy命令:gcloud org-policies set-policy /tmp/policy.yaml
使用
describe --effective命令查看当前的有效政策:gcloud org-policies describe \ gcp.disableCloudLogging --effective \ --organization=ORGANIZATION_ID运行该命令后,将显示以下输出:
name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging spec: rules: - enforce: true
后续步骤
如需详细了解如何创建具有特定限制条件的组织政策,请参阅使用限制条件。