Establece la configuración predeterminada para las organizaciones y las carpetas

En este documento, se describe cómo establecer la configuración predeterminada de Registro con Google Cloud CLI Configuración predeterminada, que se puede aplicar a una organización o a una carpeta, pueden determinar lo siguiente:

• Si se requiere una clave de encriptación administrada por el cliente (CMEK) para buckets de registros nuevos.

• La ubicación de almacenamiento para los nuevos buckets _Default y _Required, y para las consultas que se ejecutan en las páginas Explorador de registros o Estadísticas de registros.

• Indica si el receptor _Default está habilitado o inhabilitado.

• El filtro que se aplica al receptor _Default de los recursos nuevos.

Descripción general

El recurso de organización se encuentra en el nivel más alto de la jerarquía de recursos de Google Cloud. El recurso de organización es el superior de estos recursos secundarios: proyectos, carpetas, cuentas de facturación de Google Cloud y, en el caso de los registros, depósitos de registros.

Puedes configurar el registro para usar la configuración predeterminada de una organización de Google Cloud y de las carpetas. Cuando creas recursos nuevos, estos heredan la configuración predeterminada de su elemento superior.

Cloud Logging admite la siguiente configuración predeterminada:

• Indica si los buckets de registros nuevos en un recurso se deben encriptar o no una clave administrada por el cliente y, de ser así, la clave de Cloud KMS predeterminada usar para la encriptación.

• La ubicación de almacenamiento de los nuevos _Default y _Required buckets de registros creadas por recursos secundarios y para las búsquedas guardadas por las páginas Explorador de registros o Análisis de registros. Cuando configuras la ubicación de almacenamiento, puedes controlar dónde se almacenan tus registros.

  Si configuras una ubicación de almacenamiento predeterminada para un recurso y no configuras la CMK para ese recurso, los buckets de registro nuevos en el recurso no requieren la CMK.

• Indica si el sumidero de registros _Default está habilitado o inhabilitado para los proyectos nuevos en el recurso.

• Los filtros de inclusión o los filtros de exclusión que se aplican a todos los filtros _Default receptores en los recursos secundarios.

Configuraciones de ejemplo:

• Debes configurar una ubicación de almacenamiento predeterminada para una organización. Para los proyectos nuevos de la organización, _Default y _Required buckets de registros se crean en la ubicación especificada. Además, se almacenan las consultas que guardan las páginas del Explorador de registros o el Análisis de registros en la ubicación especificada. Estas consultas incluyen las consultas recientes que se guardados automáticamente luego de ser ejecutados, y las consultas guardadas por los miembros de la proyecto de Google Cloud.

• Si configuras una ubicación de almacenamiento predeterminada para una organización, configurar una ubicación de almacenamiento predeterminada para cada carpeta de esa organización. En el caso de los proyectos nuevos que se encuentran en una carpeta, los buckets _Default y _Required se crean en la ubicación especificada por la configuración de la carpeta. Para proyectos que no estén en una carpeta, sus buckets _Default y _Required se crean en la ubicación especificada por la configuración de la organización.

• Configura CMEK para una organización y la carpeta llamada Non-CMEK solo debes establecer la ubicación de almacenamiento predeterminada. Si creas un proyecto que no está en la carpeta llamada Non-CMEK, los buckets _Default y _Required se crean en la misma ubicación que la clave de Cloud Key Management Service, y esa clave encripta estos buckets de registro. Sin embargo, si creas un proyecto nuevo en la carpeta llamada Non-CMEK, sus buckets de registro se crean en las ubicaciones especificadas por la configuración de esa carpeta, y esos buckets de registro no están encriptados por CMEK.

• Configuras un filtro de exclusión que se aplica a los nuevos receptores _Default en un a nivel de la organización. El filtro excluye que los registros de auditoría de acceso a los datos enrutado a través del receptor _Default en todos los recursos secundarios, lo que evita que los registros de auditoría de acceso a los datos no se almacenen en el bucket _Default.

Antes de comenzar

Este documento no contiene información para configurar CMEK como un el parámetro de configuración predeterminado de Logging. Para obtener información sobre ese tema, consulta Configura CMEK para Logging.

Para comenzar a establecer la configuración predeterminada para Logging, haz lo siguiente:

1. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

2. Asegúrate de que tu rol de Identity and Access Management en la organización o carpeta cuyo los parámetros de configuración predeterminados que deseas establecer incluyen siguiente permiso de Cloud Logging:

   • logging.settings.get
   • logging.settings.update

3. Identifica la ubicación en la que quieres almacenar tus registros y consultas. Para obtener una lista de las ubicaciones de almacenamiento admitidas, consulta Regionalidad de los datos: Regiones admitidas.

Consulta la configuración predeterminada de Logging

Para ver la configuración predeterminada de Logging, incluida la ubicación de almacenamiento predeterminada, usa el gcloud logging settings describe :

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

El comando anterior muestra información sobre la configuración predeterminada. Por ejemplo, a continuación, se muestra la configuración predeterminada de una organización en particular:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

El valor de SERVICE_ACCT_NAME puede tener el formato cmek-12345 o service-12345@.... Si no puedes usar Google Cloud CLI, ejecuta el Método de la API de Cloud Logging getSettings.

Configura la ubicación de almacenamiento predeterminada

Los buckets de registros son los contenedores en tus proyectos, cuentas de facturación, carpetas y organizaciones de Google Cloud que almacenan y organizan los datos de registros. Para cada proyecto, cuenta de facturación, carpeta y organización de Google Cloud, Logging crea automáticamente dos buckets de registros: _Required y _Default, que se almacenan automáticamente en la ubicación global.

Cuando estableces la ubicación de almacenamiento predeterminada para una organización o carpeta, especificas dónde se crean los nuevos buckets de registros _Required y _Default, y dónde se almacenan las consultas que ejecutas en las páginas del Explorador de registros y Log Analytics. La configuración de la ubicación de almacenamiento predeterminada no afecta la ubicación de los buckets de registro existentes. Del mismo modo, para las consultas que se guardaron, no se cambia su ubicación de almacenamiento.

Después de configurar la ubicación de almacenamiento predeterminada para una organización una carpeta, sucede lo siguiente:

• En el caso de los recursos secundarios nuevos creados en la organización o carpeta, el Los buckets de _Required y _Default heredan la ubicación de almacenamiento predeterminada.

• Consultas nuevas que ejecutas en las páginas Explorador de registros o Análisis de registros se guardan en la ubicación de almacenamiento predeterminada. Esta ubicación también se aplica a las búsquedas recientes que se guardan automáticamente.

La ubicación de almacenamiento predeterminada para Cloud Logging no se aplica a buckets de registros definidos por el usuario o en consultas guardadas con la API de Logging.

Configura las políticas de la organización

Logging admite políticas de la organización que pueden donde se pueden almacenar los datos. Si dicha política existe para tu organización, solo puedes crear buckets de registros en ubicaciones permitidas por la política.

Cuando existe una política de la organización que especifica una restricción de ubicación, los valores de la política para la restricción deben incluir la ubicación especificada en la configuración predeterminada de Logging. Además, si planeas modificar tu configuración predeterminada, antes de actualizar la configuración predeterminada, revisar y, si es necesario, actualizar las políticas de la organización.

Para ver o actualizar las políticas de la organización, haz lo siguiente:

1. En la consola de Google Cloud, ve a la página Políticas de la organización:

   Ve a Políticas de la organización.

   Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.

2. Selecciona tu organización.

3. Visualiza y, de ser necesario, actualiza la restricción con el ID. constraints/gcp.resourceLocations Si esta restricción no está configurada, no se requerirá una actualización.

   Para obtener información sobre cómo ver restricciones específicas y cómo editarlas, consulta Crea y edita políticas.

Configura la ubicación de almacenamiento predeterminada para Logging

Para configurar la ubicación de almacenamiento predeterminada de Cloud Logging, ejecuta el comando gcloud logging settings update e incluye la marca --storage-location:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Si no puedes usar Google Cloud CLI, ejecuta el Método de la API de Cloud Logging updateSettings.

Para obtener información sobre cómo resolver errores cuando se actualiza el almacenamiento predeterminado ubicación, consulta Soluciona problemas relacionados con la configuración de la ubicación predeterminada de los recursos.

Configura el receptor _Default

Logging proporciona un rol predefinido _Default receptor para cada Proyecto de Google Cloud, cuenta de facturación, carpeta y recurso de organización. Cualquiera registro generado en el recurso que coincide con el filtro de inclusión y que no se excluya, se enruta al perfil predefinido del recurso, según con el nombre _Default.

Puedes definir la configuración predeterminada del receptor _Default en tu organización y carpetas con las siguientes opciones:

• Puedes inhabilitar la creación de un receptor _Default para nuevos recursos secundarios.

• Puedes configurar un filtro de inclusión o varios filtros de exclusión que se apliquen a los receptores _Default de los proyectos nuevos.

Inhabilita el receptor _Default

Puedes inhabilitar los receptores _Default para todos los recursos nuevos en en una organización o carpeta; Inhabilitar los receptores _Default evita que los registros no se almacenen en el bucket _Default del recurso. Si dejas de almacenar registros en una _Default del recurso, los registros que se habrían enrutado a ese se excluyen del almacenamiento en Logging, a menos que esos se incluyen explícitamente en otro receptor definido por el usuario para ese recurso.

Para inhabilitar los receptores _Default de un recurso y cualquiera de sus recursos secundarios, ejecuta el siguiente comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

La marca disable-default-sink se aplica solo al receptor _Default que enruta registros en el bucket _Default.

Para volver a habilitar los receptores de _Default, ejecuta el siguiente comando: gcloud logging settings update :

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configura el filtro predeterminado de _Default receptor

El receptor _Default predefinido enruta cualquier entrada de registro que coincida con el receptor al bucket _Default correspondiente. Puedes enviar un de la API de Cloud Logging para anular la configuración filtro de inclusión en el receptor _Default o para agregar un filtro. El filtro de exclusión integrado para el receptor _Default está vacío. Sin embargo, el comando de la API también te permite agregar filtros de exclusión

Para especificar un filtro de inclusión o un filtro de exclusión que se aplique a todos _Default receptores de recursos nuevos en una organización o carpeta, ejecuta el método updateSettings de la API de Cloud Logging y especifica el objeto defaultSinkConfig.

Puedes ejecutar el método updateSettings con el comando El widget del Explorador de APIs en la página de referencia del método. En el siguiente ejemplo, se muestran parámetros de muestra:

• Nombre (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Cuerpo de la solicitud, que contiene una instancia de Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

El filtro de inclusión integrado para el receptor _Default incluye lo siguiente: sentencia AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que impide que los registros de auditoría de actividad del administrador se enruten al _Default bucket de registros. En el ejemplo anterior, el filtro de inclusión es cambió para que los registros de auditoría de actividad del administrador se enruten a _Default bucket de registros. El ejemplo también agrega un filtro de exclusión que evita que se envíen enrutado al bucket _Default.

Soluciona problemas de errores de configuración

Para obtener información sobre la solución de problemas, consulta Soluciona problemas de CMEK y errores de configuración predeterminada.