Establece la configuración predeterminada para las organizaciones y las carpetas

En este documento, se describe cómo configurar los parámetros de configuración predeterminados para el registro con la CLI de Google Cloud. La configuración predeterminada, que se puede aplicar a una organización o a una carpeta, puede determinar lo siguiente:

  • Indica si se requiere una clave de encriptación administrada por el cliente (CMEK) para los buckets de registros nuevos.
  • Es la ubicación de almacenamiento para los nuevos buckets de _Default y _Required, y para las consultas que se ejecutan en las páginas Explorador de registros o Análisis de registros.
  • Indica si el receptor _Default está habilitado o inhabilitado.

  • Es el filtro que se aplica al receptor _Default de recursos nuevos.

Descripción general

El recurso de organización se encuentra en el nivel más alto de la Google Cloud jerarquía de recursos. El recurso de organización es el principal de los siguientes recursos secundarios: Google Cloud proyectos, carpetas, cuentas de facturación y, en relación con el registro, buckets de registros.

Puedes configurar el registro para que use la configuración predeterminada de una organización Google Cloud y de las carpetas. Cuando creas recursos nuevos, estos heredan la configuración predeterminada de su recurso principal.

Cloud Logging admite los siguientes parámetros de configuración predeterminados:

  • Indica si los buckets de registros nuevos de un recurso se encriptarán con una clave administrada por el cliente y, si es así, la clave de Cloud KMS predeterminada que se usará para la encriptación.

  • Ubicación de almacenamiento para los nuevos buckets de registros _Default y _Required creados por recursos secundarios, y para las consultas guardadas por las páginas del Explorador de registros o el Análisis de registros Si configuras la ubicación de almacenamiento, puedes controlar dónde se almacenan tus registros.

    Si estableces una ubicación de almacenamiento predeterminada para un recurso y no configuras la CMEK para ese recurso, los buckets de registros nuevos del recurso no requerirán la CMEK.

  • Indica si el receptor de registros de _Default está habilitado o inhabilitado para los proyectos nuevos en el recurso.

  • Son los filtros de inclusión o exclusión que se aplican a todos los receptores _Default nuevos en los recursos secundarios.

Ejemplos de configuraciones:

  • Configuraste una ubicación de almacenamiento predeterminada para una organización. En el caso de los proyectos nuevos de la organización, los buckets de registros _Default y _Required se crean en la ubicación especificada. Además, las consultas guardadas por las páginas del Explorador de registros o del Análisis de registros se almacenan en la ubicación especificada. Estas consultas incluyen las consultas recientes que se guardan automáticamente después de ejecutarse y las consultas que guardan los miembros del proyecto deGoogle Cloud .
  • Configuras una ubicación de almacenamiento predeterminada para una organización y configuras una ubicación de almacenamiento predeterminada para cada carpeta de esa organización. En el caso de los proyectos nuevos que se encuentran en una carpeta, los buckets _Default y _Required se crean en la ubicación especificada por la configuración de la carpeta. En el caso de los proyectos que no están en una carpeta, sus buckets _Default y _Required se crean en la ubicación especificada por la configuración de la organización.

  • Configuras la CMEK para una organización y, para la carpeta llamada Non-CMEK, solo estableces la ubicación de almacenamiento predeterminada. Si creas un proyecto que no está en la carpeta llamada Non-CMEK, los buckets _Default y _Required se crearán en la misma ubicación que la clave de Cloud Key Management Service, y esos buckets de registros se encriptarán con esa clave. Sin embargo, si creas un proyecto nuevo en la carpeta llamada Non-CMEK, sus buckets de registros se crearán en las ubicaciones especificadas por la configuración de esa carpeta y no estarán encriptados con la CMEK.

  • Configuras un filtro de exclusión que se aplica a los receptores _Default nuevos a nivel de la organización. El filtro excluye los registros de auditoría de acceso a los datos del enrutamiento a través del receptor _Default en todos los recursos secundarios, lo que evita que los registros de auditoría de acceso a los datos se almacenen en el bucket _Default.

Antes de comenzar

Este documento no contiene información sobre cómo configurar la CMEK como un parámetro de configuración predeterminado para Logging. Para obtener información sobre ese tema, consulta Cómo configurar CMEK para Logging.

Para comenzar a configurar los parámetros predeterminados de Logging, haz lo siguiente:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Asegúrate de que tu rol de Identity and Access Management en la organización o carpeta cuya configuración predeterminada deseas establecer incluya el siguiente permiso de Cloud Logging:

    • logging.settings.get
    • logging.settings.update
  3. Identifica la ubicación en la que deseas almacenar tus registros y búsquedas. Para obtener una lista de las ubicaciones de almacenamiento compatibles, consulta Regiones admitidas.

  4. Cómo ver la configuración predeterminada de Logging

    Para ver la configuración predeterminada del registro, incluida la ubicación de almacenamiento predeterminada, usa el comando gcloud logging settings describe:

    CARPETA

     gcloud logging settings describe --folder=FOLDER_ID
    

    Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:

    • FOLDER_ID: Es el identificador numérico único de la carpeta. Para obtener información sobre cómo usar las carpetas, consulta Crea y administra carpetas.

    ORGANIZACIÓN

    gcloud logging settings describe --organization=ORGANIZATION_ID
    

    Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:

    • ORGANIZATION_ID: Es el identificador numérico único de la organización. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de tu organización.

    El comando anterior devuelve información sobre la configuración predeterminada. Por ejemplo, a continuación, se muestra la configuración predeterminada de una organización en particular:

    name: organizations/ORGANIZATION_ID/settings
    kmsKeyName: KMS_KEY_NAME
    kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
    storageLocation: europe-west1
    disableDefaultSink: false
    

    El valor de SERVICE_ACCT_NAME puede tener el formato cmek-12345 o service-12345@.... Si no puedes usar Google Cloud CLI, ejecuta el método de la API de Cloud Logging getSettings.

    Cómo establecer la ubicación de almacenamiento predeterminada

    Los buckets de registros son los contenedores en tusGoogle Cloud proyectos, cuentas de facturación, carpetas y organizaciones que almacenan y organizan tus datos de registros. Para cada proyecto, cuenta de facturación, carpeta y organización de Google Cloud , Logging crea automáticamente dos buckets de registros: _Required y _Default, que se almacenan automáticamente en la ubicación global.

    Cuando configuras la ubicación de almacenamiento predeterminada para una organización o carpeta, especificas dónde se crean los nuevos buckets de registros _Required y _Default, y dónde se almacenan las consultas que ejecutas en las páginas del Explorador de registros y Análisis de registros. Establecer la ubicación de almacenamiento predeterminada no afecta la ubicación de los buckets de registros existentes. Del mismo modo, no se cambia la ubicación de almacenamiento de las consultas que se guardaron.

    Después de configurar la ubicación de almacenamiento predeterminada para una organización o una carpeta, sucede lo siguiente:

    • En el caso de los recursos secundarios nuevos creados en la organización o la carpeta, sus buckets _Required y _Default heredan la ubicación de almacenamiento predeterminada.
    • Las consultas nuevas que ejecutes en las páginas del Explorador de registros o de Análisis de registros se guardarán en la ubicación de almacenamiento predeterminada. Esta ubicación también se aplica a las búsquedas recientes que se guardan automáticamente.

    La ubicación de almacenamiento predeterminada de Cloud Logging no se aplica a los buckets de registros definidos por el usuario ni a las consultas guardadas con la API de Logging.

    Configura las políticas de la organización

    El registro admite políticas de la organización que pueden restringir dónde se pueden almacenar los datos. Si existe una política de este tipo para tu organización, solo puedes crear buckets de registros en las ubicaciones que permite la política.

    Cuando existe una política de la organización que especifica una restricción de ubicación, los valores de la política para la restricción deben incluir la ubicación especificada en la configuración predeterminada de Logging. Además, si planeas modificar la configuración predeterminada, antes de actualizarla, revisa y, si es necesario, actualiza las políticas de la organización.

    Para ver o actualizar las políticas de la organización, haz lo siguiente:

    1. En la consola de Google Cloud , ve a la página Políticas de la organización:

      Ir a Políticas de la organización

      Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.

    2. Selecciona tu organización.

    3. Consulta y, si es necesario, actualiza la restricción con el ID constraints/gcp.resourceLocations. Si esta restricción no está configurada, no se requiere una actualización.

      Para obtener información sobre cómo ver restricciones específicas y cómo editarlas, consulta Crea y edita políticas.

    Configura la ubicación de almacenamiento predeterminada para Logging

    Para configurar la ubicación de almacenamiento predeterminada de Cloud Logging, ejecuta el comando gcloud logging settings update y agrega la marca --storage-location:

    CARPETA

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
    

    Antes de ejecutar el comando anterior, realiza los siguientes reemplazos:

    • FOLDER_ID: Es el identificador numérico único de la carpeta. Para obtener información sobre cómo usar las carpetas, consulta Crea y administra carpetas.
    • LOCATION: Es la ubicación en la que se crean los buckets de registros _Default y _Required nuevos, y en la que se almacenan las consultas. Para obtener una lista de las ubicaciones compatibles, consulta Regiones admitidas.

    ORGANIZACIÓN

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
    

    Antes de ejecutar el comando anterior, realiza los siguientes reemplazos:

    • ORGANIZATION_ID: Es el identificador numérico único de la organización. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de tu organización.
    • LOCATION: Es la ubicación en la que se crean los buckets de registros _Default y _Required nuevos, y en la que se almacenan las consultas. Para obtener una lista de las ubicaciones compatibles, consulta Regiones admitidas.

    Si no puedes usar Google Cloud CLI, ejecuta el método de la API de Cloud Logging updateSettings.

    Para obtener información sobre cómo resolver errores cuando actualizas la ubicación de almacenamiento predeterminada, consulta Soluciona problemas para establecer la ubicación de recursos predeterminada.

    Configura el receptor _Default

    Logging proporciona un receptor _Default predefinido para cada recurso deGoogle Cloud proyecto, cuenta de facturación, carpeta y organización. Cualquier registro que se genere en el recurso que coincida con el filtro de inclusión y que no se excluya se enruta al bucket _Default predefinido del recurso con el nombre correspondiente.

    Puedes configurar los parámetros predeterminados del receptor _Default para tu organización y tus carpetas con las siguientes opciones:

    • Puedes inhabilitar la creación de un receptor _Default para los recursos secundarios nuevos.

    • Puedes configurar un filtro de inclusión o varios filtros de exclusión que se apliquen a los receptores _Default de proyectos nuevos.

    Inhabilita el receptor _Default

    Puedes inhabilitar los receptores de _Default para todos los recursos nuevos en una organización o carpeta. Inhabilitar los receptores de _Default impide que los registros se almacenen en el bucket de _Default del recurso. Si dejas de almacenar registros en el bucket _Default de un recurso, los registros que se habrían enrutado a ese bucket se excluirán del almacenamiento en Logging, a menos que se incluyan de forma explícita en otro receptor definido por el usuario para ese recurso.

    Para inhabilitar los receptores de _Default de un recurso y cualquiera de sus recursos secundarios, ejecuta el siguiente comando de gcloud logging settings update:

    CARPETA

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
    

    Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:

    • FOLDER_ID: Es el identificador numérico único de la carpeta. Para obtener información sobre cómo usar las carpetas, consulta Crea y administra carpetas.

    ORGANIZACIÓN

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
    

    Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:

    • ORGANIZATION_ID: Es el identificador numérico único de la organización. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de tu organización.

    La marca disable-default-sink solo se aplica al receptor _Default que enruta los registros al bucket _Default.

    Puedes volver a habilitar los receptores de _Default ejecutando el siguiente comando de gcloud logging settings update:

    CARPETA

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
    

    ORGANIZACIÓN

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
    

    Configura el filtro predeterminado de los receptores de _Default

    El receptor _Default predefinido enruta cualquier entrada de registro que coincida con los criterios del receptor al bucket _Default correspondiente. Puedes enviar un comando de la API de Cloud Logging para anular el filtro de inclusión integrado en el receptor _Default o para agregar un filtro. El filtro de exclusión integrado para el receptor _Default está vacío. Sin embargo, el comando de la API también te permite agregar filtros de exclusión.

    Para especificar un filtro de inclusión o exclusión que se aplique a todos los receptores _Default de los recursos nuevos en una organización o carpeta, ejecuta el método updateSettings de la API de Cloud Logging y especifica el objeto defaultSinkConfig.

    Puedes ejecutar el método updateSettings con el widget del Explorador de APIs en la página de referencia del método. En el siguiente ejemplo, se ilustran parámetros de muestra:

    • Nombre (URL): organizations/ORGANIZATION_ID/settings
    • updateMask: "default_sink_config"
    • Cuerpo de la solicitud, que contiene una instancia de Settings:

      "defaultSinkConfig": {
        {
        "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
        "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
        "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
        "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
        "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
        "exclusions": [
           {
              "name": "exclude-data-access",
              "description": "Prevents Data Access audit logs from being routed",
              "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
           }
        ],
        "mode": OVERWRITE
        }
      }
      

    El filtro de inclusión integrado para el receptor _Default incluye la instrucción AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que impide que los registros de auditoría de actividad del administrador se enruten al bucket de registros _Default. En el ejemplo anterior, el filtro de inclusión se cambia para que los registros de auditoría de actividad del administrador se enruten al bucket de registros _Default. En el ejemplo, también se agrega un filtro de exclusión que evita que los registros de auditoría de acceso a los datos se enruten al bucket _Default. En el ejemplo anterior, el filtro de exclusión se llama exclude-data-access.

    Soluciona problemas de errores de configuración

    Para obtener información sobre la solución de problemas, consulta Soluciona problemas de CMEK y errores de configuración predeterminada.