概览
本指南介绍如何设置限制条件 (constraints/gcp.disableCloudLogging),以在组织、项目或文件夹级层为 Cloud Healthcare API 停用 Cloud Logging。
限制条件不会影响 Cloud Audit Logs。在限制条件生效之前生成的日志不会被删除,并且可以在限制条件生效后访问。
为 Cloud Healthcare API 停用 Cloud Logging
如需为 Cloud Healthcare API 停用 Cloud Logging,您必须拥有 Organization Administrator (roles/resourcemanager.organizationAdmin) 角色。此角色只能在组织层级授予。您必须具有 Organization Policy Administrator (roles/orgpolicy.policyAdminrole) 角色才能设置或更改组织政策。
控制台
如需为 Cloud Healthcare API 停用 Cloud Logging,请执行以下操作:
以 Google Workspace 或 Cloud Identity 超级用户的身份登录 Google Cloud 控制台,并转到组织政策页面:
点击选择,然后选择要查看其组织政策的项目、文件夹或组织。组织政策页面会显示可用组织政策限制条件的列表,该列表可过滤。
在显示的政策列表中,选择停用 Cloud Logging for Cloud Healthcare API。为 Cloud Healthcare API 停用 Cloud Logging 政策会使用
constraints/gcp.disableCloudLoggingID。随即显示的政策详情页面会描述该限制条件,并提供有关如何应用该限制条件的信息。如需更新组织政策,请点击管理政策。
在修改政策页面上,选择覆盖父级政策。
点击添加规则。
在强制执行下,选择强制执行选项:
- 如需为 Cloud Healthcare API 启用限制条件并停用 Cloud Logging,请选择开启。
- 如需为 Cloud Healthcare API 停用限制条件并启用 Cloud Logging,请选择关闭。
如需强制执行政策,请点击设置政策。
gcloud
使用
describe命令获取组织资源的当前政策:gcloud beta resource-manager org-policies describe \ constraints/gcp.disableCloudLogging --organization ORGANIZATION_ID
其中 ORGANIZATION_ID 是组织资源的唯一标识符。您还可以将组织政策应用于分别带有
--folder或--project标志以及文件夹 ID 和项目 ID 的文件夹或项目。由于未设置政策,因此返回的政策不完整,如以下示例所示:
booleanPolicy: {} constraint: "constraints/gcp.disableCloudLogging"使用
enable-enforce命令设置政策,以便对组织强制执行:gcloud beta resource-manager org-policies enable-enforce \ constraints/gcp.disableCloudLogging --organization ORGANIZATION_ID
运行该命令后,将显示以下输出:
booleanPolicy: enforced: true constraint: constraints/gcp.disableCloudLogging etag: BwVJitxdiwY=
使用
describe --effective查看当前的有效政策:gcloud beta resource-manager org-policies describe \ constraints/gcp.disableCloudLogging --effective \ --organization ORGANIZATION_ID
运行该命令后,将显示以下输出:
booleanPolicy: enforced: true constraint: constraints/gcp.disableCloudLogging
后续步骤
如需详细了解如何创建具有特定限制条件的组织政策,请参阅使用限制条件。