Configurar los ajustes predeterminados de organizaciones y carpetas

En este documento se describe cómo configurar los ajustes predeterminados de Logging mediante la CLI de Google Cloud. Los ajustes predeterminados, que se pueden aplicar a una organización o a una carpeta, pueden determinar lo siguiente:

• Indica si se requiere una clave de cifrado gestionada por el cliente (CMEK) para los nuevos segmentos de registro.

• La ubicación de almacenamiento de los nuevos _Default y _Required segmentos, así como de las consultas que se ejecutan en las páginas Explorador de registros o Analíticas de registros.

• Indica si el receptor _Default está habilitado o inhabilitado.

• El filtro que se aplica al _Default de los recursos nuevos.

Información general

El recurso de organización se encuentra en el nivel más alto de la Google Cloud jerarquía de recursos. El recurso de organización es el elemento superior de los siguientes recursos secundarios: proyectos, carpetas, cuentas de facturación y, en cuanto a Logging, contenedores de registro.Google Cloud

Puedes configurar el registro para que use los ajustes predeterminados de una organización y de las carpetas. Google Cloud Cuando creas recursos, estos heredan la configuración predeterminada de su elemento superior.

Cloud Logging admite los siguientes ajustes predeterminados:

• Indica si los nuevos segmentos de registro de un recurso se deben cifrar con una clave gestionada por el cliente y, si es así, la clave de Cloud KMS predeterminada que se debe usar para el cifrado.

• La ubicación de almacenamiento de los nuevos _Default y _Required contenedores de registros creados por recursos secundarios, así como de las consultas guardadas en las páginas Explorador de registros o Analíticas de registros. Al definir la ubicación de almacenamiento, puedes controlar dónde se almacenan tus registros.

  Si define una ubicación de almacenamiento predeterminada para un recurso y no configura CMEK para ese recurso, los nuevos contenedores de registro del recurso no requerirán CMEK.

• Indica si el receptor de registro _Default está habilitado o inhabilitado para los proyectos nuevos del recurso.

• Los filtros de inclusión o exclusión que se aplican a todos los nuevos _Default receptores de los recursos secundarios.

Configuraciones de ejemplo:

• Configuras una ubicación de almacenamiento predeterminada para una organización. En los proyectos nuevos de la organización, los contenedores de registro _Default y _Required se crean en la ubicación especificada. Además, las consultas guardadas en las páginas Explorador de registros o Analíticas de registros se almacenan en la ubicación especificada. Estas consultas incluyen las consultas recientes que se guardan automáticamente después de ejecutarse y las consultas guardadas por los miembros delGoogle Cloud proyecto.

• Configuras una ubicación de almacenamiento predeterminada para una organización y una ubicación de almacenamiento predeterminada para cada carpeta de esa organización. En los proyectos nuevos que se encuentran en una carpeta, los contenedores _Default y _Required se crean en la ubicación especificada en la configuración de la carpeta. En el caso de los proyectos que no están en una carpeta, sus contenedores _Default y _Required se crean en la ubicación especificada en la configuración de la organización.

• Configuras CMEK para una organización y, en la carpeta llamada Non-CMEK , solo defines la ubicación de almacenamiento predeterminada. Si creas un proyecto que no está en la carpeta llamada Non-CMEK, los segmentos _Default y _Required se crearán en la misma ubicación que la clave de Cloud Key Management Service y se cifrarán con esa clave. Sin embargo, si creas un proyecto en la carpeta llamada Non-CMEK, sus contenedores de registro se crean en las ubicaciones especificadas en la configuración de esa carpeta y no están cifrados con CMEK.

• Configura un filtro de exclusión que se aplica a los nuevos receptores _Default a nivel de organización. El filtro impide que los registros de auditoría de acceso a datos se enruten a través del receptor _Default en todos los recursos secundarios, lo que evita que se almacenen en el contenedor _Default.

Antes de empezar

Este documento no contiene información sobre cómo configurar CMEK como ajuste predeterminado para el registro. Para obtener información sobre este tema, consulta Configurar CMEK para el registro.

Para empezar a configurar los ajustes predeterminados de Registro, haz lo siguiente:

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Asegúrate de que tu rol de Gestión de Identidades y Accesos en la organización o carpeta cuya configuración predeterminada quieras configurar incluya el siguiente permiso de Cloud Logging:

   • logging.settings.get
   • logging.settings.update

3. Identifica la ubicación en la que quieres almacenar los registros y las consultas. Para ver una lista de las ubicaciones de almacenamiento admitidas, consulta Regiones admitidas.

Ver la configuración predeterminada de Registro

Para ver la configuración predeterminada de Logging, incluida la ubicación de almacenamiento predeterminada, usa el comando gcloud logging settings describe:

FOLDER

 gcloud logging settings describe --folder=FOLDER_ID

Antes de ejecutar el comando anterior, haz la siguiente sustitución:

• FOLDER_ID: identificador numérico único de la carpeta. Para obtener información sobre cómo usar carpetas, consulta el artículo Crear y gestionar carpetas.

ORGANIZACIÓN

gcloud logging settings describe --organization=ORGANIZATION_ID

Antes de ejecutar el comando anterior, haz la siguiente sustitución:

• ORGANIZATION_ID: identificador numérico único de la organización. Para obtener información sobre cómo conseguir este identificador, consulta Obtener el ID de tu organización.

El comando anterior devuelve información sobre la configuración predeterminada. Por ejemplo, a continuación se muestran los ajustes predeterminados de una organización concreta:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

El valor de SERVICE_ACCT_NAME puede tener el formato cmek-12345 o service-12345@.... Si no puedes usar la CLI de Google Cloud, ejecuta el método de la API Cloud Logging getSettings.

Definir la ubicación de almacenamiento predeterminada

Los segmentos de registro son los contenedores de tusGoogle Cloud proyectos, cuentas de facturación, carpetas y organizaciones que almacenan y organizan tus datos de registro. En cada proyecto, cuenta de facturación, carpeta y organización, Logging crea automáticamente dos segmentos de registros: _Required y _Default, que se almacenan automáticamente en la ubicación global. Google Cloud

Cuando defines la ubicación de almacenamiento predeterminada de una organización o una carpeta, especificas dónde se crean los nuevos contenedores de registro _Required y _Default, y dónde se almacenan las consultas que ejecutas en las páginas Explorador de registros y Analíticas de registros. Definir la ubicación de almacenamiento predeterminada no afecta a la ubicación de los contenedores de registro. Del mismo modo, la ubicación de almacenamiento de las consultas guardadas no cambia.

Después de configurar la ubicación de almacenamiento predeterminada de una organización o una carpeta, ocurre lo siguiente:

• Los recursos secundarios nuevos que se creen en la organización o en la carpeta heredarán la ubicación de almacenamiento predeterminada de los contenedores _Required y _Default.
• Las consultas que ejecutes en las páginas Explorador de registros o Analíticas de registros se guardan en la ubicación de almacenamiento predeterminada. Esta ubicación también se aplica a las consultas recientes que se guardan automáticamente.

La ubicación de almacenamiento predeterminada de Cloud Logging no se aplica a los segmentos de registro definidos por el usuario ni a las consultas guardadas mediante la API Logging.

Configurar las políticas de la organización

.

Logging admite políticas de organización que pueden restringir dónde se pueden almacenar los datos. Si tu organización tiene una política de este tipo, solo podrás crear contenedores de registro en las ubicaciones que permita la política.

Si existe una política de la organización que especifica una restricción de ubicación, los valores de la política de la restricción deben incluir la ubicación especificada en la configuración predeterminada de Logging. Además, si tienes previsto modificar la configuración predeterminada, antes de hacerlo, revisa las políticas de la organización y, si es necesario, actualízalas.

Para ver o actualizar las políticas de la organización, haz lo siguiente:

1. En la Google Cloud consola, ve a la página Políticas de la organización:

   Ve a Políticas de la organización.

   Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo sea IAM y administrador.

2. Selecciona tu organización.

3. Consulta y, si es necesario, actualiza la restricción con el ID. constraints/gcp.resourceLocations Si esta restricción no está configurada, no es necesario actualizarla.

   Para obtener información sobre cómo ver restricciones específicas y cómo editarlas, consulte Crear y editar políticas.

Configurar la ubicación de almacenamiento predeterminada de Logging

Para configurar la ubicación de almacenamiento predeterminada de Cloud Logging, ejecuta el comando gcloud logging settings update e incluye la marca --storage-location:

FOLDER

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

Antes de ejecutar el comando anterior, haz las siguientes sustituciones:

• FOLDER_ID: identificador numérico único de la carpeta. Para obtener información sobre cómo usar carpetas, consulta el artículo Crear y gestionar carpetas.
• LOCATION: la ubicación en la que se crean los nuevos _Default y los _Required registros y donde se almacenan las consultas. Para ver una lista de las ubicaciones admitidas, consulta Regiones admitidas.

ORGANIZACIÓN

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Antes de ejecutar el comando anterior, haz las siguientes sustituciones:

• ORGANIZATION_ID: identificador numérico único de la organización. Para obtener información sobre cómo conseguir este identificador, consulta Obtener el ID de tu organización.
• LOCATION: la ubicación en la que se crean los nuevos _Default y los _Required registros y donde se almacenan las consultas. Para ver una lista de las ubicaciones admitidas, consulta Regiones admitidas.

Si no puedes usar la CLI de Google Cloud, ejecuta el método de la API Cloud Logging updateSettings.

Para obtener información sobre cómo resolver errores al actualizar la ubicación de almacenamiento predeterminada, consulte Solucionar problemas al definir la ubicación de recursos predeterminada.

Configurar el sumidero _Default

Logging proporciona un _Defaultreceptor predefinido para cadaGoogle Cloud recurso de proyecto, cuenta de facturación, carpeta y organización. Cualquier registro que se genere en el recurso que coincida con el filtro de inclusión y que no se excluya se dirigirá al bucket _Default predefinido del recurso, que tiene el nombre correspondiente.

Puedes configurar los ajustes predeterminados del _Default de tu organización y de tus carpetas con las siguientes opciones:

• Puedes inhabilitar la creación de un receptor _Default para los nuevos recursos de los niños.

• Puede configurar un filtro de inclusión o varios filtros de exclusión que se apliquen a los _Default sinks de los proyectos nuevos.

Inhabilitar el sumidero _Default

Puedes inhabilitar los receptores _Default de todos los recursos nuevos de una organización o una carpeta. Si lo haces, se evitará que los registros se almacenen en el segmento _Default del recurso._Default Si dejas de almacenar registros en el segmento _Default de un recurso, los registros que se habrían enrutado a ese segmento se excluirán del almacenamiento en Logging, a menos que se incluyan explícitamente en otro sumidero definido por el usuario para ese recurso.

Para inhabilitar los _Default sinks de un recurso y de cualquiera de sus recursos secundarios, ejecuta el siguiente comando gcloud logging settings update:

FOLDER

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

Antes de ejecutar el comando anterior, haz la siguiente sustitución:

• FOLDER_ID: identificador numérico único de la carpeta. Para obtener información sobre cómo usar carpetas, consulta el artículo Crear y gestionar carpetas.

ORGANIZACIÓN

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Antes de ejecutar el comando anterior, haz la siguiente sustitución:

• ORGANIZATION_ID: identificador numérico único de la organización. Para obtener información sobre cómo conseguir este identificador, consulta Obtener el ID de tu organización.

La marca disable-default-sink solo se aplica al receptor _Default que dirige los registros al contenedor _Default.

Puedes volver a habilitar los receptores _Default ejecutando el siguiente comando gcloud logging settings update:

FOLDER

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

ORGANIZACIÓN

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configurar el filtro predeterminado de los sumideros _Default

.

El receptor _Default predefinido dirige las entradas de registro que coinciden con los criterios del receptor al contenedor _Default correspondiente. Puedes enviar un comando de la API Cloud Logging para anular el filtro de inclusión integrado en el receptor _Default o para añadir un filtro. El filtro de exclusión integrado del sumidero _Default está vacío. Sin embargo, el comando de la API también te permite añadir filtros de exclusión.

Para especificar un filtro de inclusión o de exclusión que se aplique a todos los _Defaultsinks de los recursos nuevos de una organización o una carpeta, ejecuta el método updateSettings de la API Cloud Logging y especifica el objeto defaultSinkConfig.

Puedes ejecutar el método updateSettings mediante el widget Explorador de APIs en la página de referencia del método. En el siguiente ejemplo se muestran parámetros de ejemplo:

• name (URL): organizations/ORGANIZATION_ID/settings
• updateMask "default_sink_config"

• Cuerpo de la solicitud, que contiene una instancia de Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

El filtro de inclusión integrado del sumidero _Default incluye la instrucción AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que impide que los registros de auditoría de actividad de administración se enruten al bucket de registro _Default. En el ejemplo anterior, el filtro de inclusión se ha cambiado para que los registros de auditoría de actividad de administración se enruten al _Default del registro. En el ejemplo también se añade un filtro de exclusión que impide que los registros de auditoría de acceso a datos se enruten al contenedor _Default. En el ejemplo anterior, el filtro de exclusión se llama exclude-data-access.

Solucionar errores de configuración

Para obtener información sobre cómo solucionar problemas, consulta el artículo Solucionar problemas de CMEK y de la configuración predeterminada.