Configura le impostazioni predefinite per organizzazioni e cartelle

Questo documento descrive come configurare le impostazioni predefinite per Logging utilizzando Google Cloud CLI. Le impostazioni predefinite, che possono essere applicate a un'organizzazione o a una cartella, possono determinare quanto segue:

  • Se è necessaria una chiave di crittografia gestita dal cliente (CMEK) per i nuovi bucket log.
  • La posizione di archiviazione per i nuovi bucket _Default e _Required e per le query eseguite nelle pagine Esplora log o Analisi dei log.

  • Indica se il sink _Default è attivo o disattivato.

  • Il filtro applicato al sink _Default delle nuove risorse.

Panoramica

La risorsa organizzazione si trova al livello più alto della Google Cloud gerarchia delle risorse. La risorsa organizzazione è il padre delle seguenti risorse secondarie: Google Cloud progetti, cartelle, account di fatturazione e, per quanto riguarda Logging, bucket di log.

Puoi configurare la registrazione in modo che utilizzi le impostazioni predefinite per un'organizzazione e per le cartelle. Google Cloud Quando crei nuove risorse, queste ereditano le impostazioni predefinite dell'elemento principale.

Cloud Logging supporta le seguenti impostazioni predefinite:

  • Indica se i nuovi bucket log in una risorsa devono essere criptati con una chiave gestita dal cliente e, in caso affermativo, la chiave Cloud KMS predefinita da utilizzare per la crittografia.

  • La posizione di archiviazione per i nuovi bucket di log _Default e _Required creati dalle risorse secondarie e per le query salvate dalle pagine Esplora log o Analisi dei log. Impostando la posizione di archiviazione, puoi controllare dove vengono archiviati i log.

    Se imposti una posizione di archiviazione predefinita per una risorsa e non configuri CMEK per quella risorsa, i nuovi bucket dei log nella risorsa non richiedono CMEK.

  • Indica se il sink dei log _Default è attivato o disattivato per i nuovi progetti nella risorsa.

  • I filtri di inclusione o esclusione applicati a tutti i nuovi sink _Default nelle risorse secondarie.

Configurazioni di esempio:

  • Configuri una posizione di archiviazione predefinita per un'organizzazione. Per i nuovi progetti nell'organizzazione, i bucket di log _Default e _Required vengono creati nella posizione specificata. Inoltre, le query salvate dalle pagine Esplora log o Analisi dei log vengono archiviate nella posizione specificata. Queste query includono le query recenti salvate automaticamente dopo l'esecuzione e le query salvate dai membri del progettoGoogle Cloud .

  • Configuri una posizione di archiviazione predefinita per un'organizzazione e una posizione di archiviazione predefinita per ogni cartella dell'organizzazione. Per i nuovi progetti che si trovano in una cartella, i bucket _Default e _Required vengono creati nella posizione specificata dalle impostazioni della cartella. Per i progetti che non si trovano in una cartella, i bucket _Default e _Required vengono creati nella posizione specificata dalle impostazioni dell'organizzazione.

  • Configuri CMEK per un'organizzazione e per la cartella denominata Non-CMEK imposti solo la posizione di archiviazione predefinita. Se crei un progetto che non si trova nella cartella denominata Non-CMEK, i bucket _Default e _Required vengono creati nella stessa posizione della chiave Cloud Key Management Service e questi bucket di log vengono criptati da questa chiave. Tuttavia, se crei un nuovo progetto nella cartella denominata Non-CMEK, i relativi bucket di log vengono creati nelle posizioni specificate dall'impostazione della cartella e non vengono criptati da CMEK.

  • Configuri un filtro di esclusione che si applica ai nuovi sink _Default a livello di organizzazione. Il filtro esclude gli audit log di accesso ai dati dal routing tramite il sink _Default in tutte le risorse secondarie, il che impedisce l'archiviazione degli audit log di accesso ai dati nel bucket _Default.

Prima di iniziare

Questo documento non contiene informazioni su come configurare CMEK come impostazione predefinita per la registrazione. Per informazioni su questo argomento, vedi Configurare CMEK per la registrazione nel log.

Per iniziare a configurare le impostazioni predefinite per la registrazione, procedi nel seguente modo:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Assicurati che il tuo ruolo Identity and Access Management nell'organizzazione o nella cartella di cui vuoi configurare le impostazioni predefinite includa la seguente autorizzazione Cloud Logging:

    • logging.settings.get
    • logging.settings.update

  3. Identifica la posizione in cui vuoi archiviare i log e le query. Per un elenco delle posizioni di archiviazione supportate, consulta Regioni supportate.

    4. Visualizzare le impostazioni predefinite per la registrazione nel log

    Per visualizzare le impostazioni predefinite per Logging, inclusa la posizione di archiviazione predefinita, utilizza il comando gcloud logging settings describe:

    FOLDER 

     gcloud logging settings describe --folder=FOLDER_ID

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.

    ORGANIZZAZIONE 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.

    Il comando precedente restituisce informazioni sulle impostazioni predefinite. Ad esempio, di seguito sono riportate le impostazioni predefinite per una determinata organizzazione:

    name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

    Il valore di SERVICE_ACCT_NAME potrebbe avere il formato cmek-12345 o service-12345@.... Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging getSettings.

    Impostare la posizione di archiviazione predefinita

    I bucket di log sono i contenitori dei tuoi progetti, account di fatturazione, cartelle e organizzazioniGoogle Cloud che archiviano e organizzano i dati di log. Per ogni Google Cloud progetto, account di fatturazione, cartella e organizzazione, Logging crea automaticamente due bucket di log: _Required e _Default, che vengono archiviati automaticamente nella località global.

    Quando imposti la posizione di archiviazione predefinita per un'organizzazione o una cartella, specifichi dove vengono creati i nuovi bucket di log _Required e _Default e dove vengono archiviate le query eseguite nelle pagine Esplora log e Analisi dei log. L'impostazione della posizione di archiviazione predefinita non influisce sulla posizione dei bucket dei log esistenti. Allo stesso modo, per le query salvate, la posizione di archiviazione non viene modificata.

    Dopo aver configurato la posizione di archiviazione predefinita per un'organizzazione o una cartella, si verifica quanto segue:

    • Per le nuove risorse secondarie create nell'organizzazione o nella cartella, i bucket _Required e _Default ereditano la posizione di archiviazione predefinita.
    • Le nuove query che esegui nelle pagine Esplora log o Analisi dei log vengono salvate nella posizione di archiviazione predefinita. Questa posizione si applica anche alle query recenti che vengono salvate automaticamente.

    La posizione di archiviazione predefinita per Cloud Logging non si applica ai bucket di log definiti dall'utente o alle query salvate utilizzando l'API Logging.

    Configura i criteri dell'organizzazione

    La registrazione supporta i criteri dell'organizzazione che possono limitare la posizione in cui possono essere archiviati i dati. Se esiste un criterio di questo tipo per la tua organizzazione, puoi creare bucket di log solo nelle località consentite dal criterio.

    Quando esiste un criterio dell'organizzazione che specifica un vincolo di località, i valori del criterio per il vincolo devono includere la località specificata nelle impostazioni predefinite per la registrazione. Inoltre, se prevedi di modificare le impostazioni predefinite, prima di aggiornarle, rivedi e, se necessario, aggiorna i criteri dell'organizzazione.

    Per visualizzare o aggiornare le policy dell'organizzazione:

    1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione:

      Vai a Policy dell'organizzazione

      Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.

    2. Seleziona la tua organizzazione.

    3. Visualizza e, se necessario, aggiorna il vincolo con l'ID constraints/gcp.resourceLocations. Se questo vincolo non è configurato, non è necessario un aggiornamento.

      Per informazioni su come visualizzare vincoli specifici e come modificarli, consulta Creare e modificare criteri.

    Configura la posizione di archiviazione predefinita per Logging

    Per configurare la posizione di archiviazione predefinita per Cloud Logging, esegui il comando gcloud logging settings update e includi il flag --storage-location:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

    Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:

    • FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.
    • LOCATION: la località in cui vengono creati i nuovi bucket log _Default e _Required e in cui vengono archiviate le query. Per un elenco delle località supportate, consulta Regioni supportate.

    ORGANIZZAZIONE 

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

    Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:

    • ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.
    • LOCATION: la località in cui vengono creati i nuovi bucket log _Default e _Required e in cui vengono archiviate le query. Per un elenco delle località supportate, consulta Regioni supportate.

    Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging updateSettings.

    Per informazioni sulla risoluzione degli errori durante l'aggiornamento della posizione di archiviazione predefinita, consulta Risoluzione dei problemi relativi all'impostazione della posizione delle risorse predefinita.

    Configura il sink _Default

    Logging fornisce un sink _Default predefinito per ogni risorsa di progetto, account di fatturazione, cartella e organizzazioneGoogle Cloud . Qualsiasi log generato nella risorsa che corrisponde al filtro di inclusione e che non è escluso viene indirizzato al bucket _Default predefinito della risorsa, denominato di conseguenza.

    Puoi configurare le impostazioni predefinite per il sink _Default per la tua organizzazione e le tue cartelle con le seguenti opzioni:

    • Puoi disattivare la creazione di un sink _Default per le nuove risorse figlio.

    • Puoi configurare un filtro di inclusione o diversi filtri di esclusione che si applicano ai sink _Default dei nuovi progetti.

    Disattiva il sink _Default

    Puoi disattivare i sink _Default per tutte le nuove risorse in un'organizzazione o una cartella; la disattivazione dei sink _Default impedisce l'archiviazione dei log nel bucket _Default della risorsa. Se interrompi l'archiviazione dei log in un bucket _Default di una risorsa, i log che sarebbero stati indirizzati a quel bucket vengono esclusi dall'archiviazione in Logging, a meno che non siano inclusi esplicitamente in un altro sink definito dall'utente per quella risorsa.

    Per disattivare i sink _Default per una risorsa e le relative risorse secondarie, esegui questo comando gcloud logging settings update:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.

    ORGANIZZAZIONE 

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

    Prima di eseguire il comando precedente, esegui la sostituzione seguente:

    • ORGANIZATION_ID: L'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.

    Il flag disable-default-sink si applica solo al sink _Default che indirizza i log nel bucket _Default.

    Puoi riattivare i sink _Default eseguendo il seguente comando gcloud logging settings update:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

    ORGANIZZAZIONE 

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

    Configurare il filtro predefinito dei sink _Default

    Il sink _Default predefinito indirizza tutte le voci di log che corrispondono ai criteri del sink al bucket _Default corrispondente. Puoi inviare un comando dell'API Cloud Logging per ignorare il filtro di inclusione integrato nel sink _Default o per aggiungere un filtro. Il filtro di esclusione integrato per il sink _Default è vuoto. Tuttavia, il comando API ti consente anche di aggiungere filtri di esclusione.

    Per specificare un filtro di inclusione o esclusione che viene applicato a tutti i sink _Default delle nuove risorse in un'organizzazione o una cartella, esegui il metodo dell'API Cloud Logging updateSettings e specifica l'oggetto defaultSinkConfig.

    Puoi eseguire il metodo updateSettings utilizzando il widget Explorer API nella pagina di riferimento del metodo. L'esempio seguente illustra i parametri di esempio:

    • name (URL): organizations/ORGANIZATION_ID/settings
    • updateMask: "default_sink_config"

    • Corpo della richiesta, che contiene un'istanza di Settings:

      "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

    Il filtro di inclusione integrato per il sink _Default include l'istruzione AND NOT LOG_ID("externalaudit.googleapis.com/activity"), che impedisce il routing degli audit log delle attività amministrative al bucket di log _Default. Nell'esempio precedente, il filtro di inclusione viene modificato in modo che gli audit log dell'attività di amministrazione vengano indirizzati al bucket log _Default. L'esempio aggiunge anche un filtro di esclusione che impedisce il routing degli audit log di accesso ai dati al bucket _Default. Nell'esempio precedente, il filtro di esclusione è denominato exclude-data-access.

    Risolvere gli errori di configurazione

    Per informazioni sulla risoluzione dei problemi, vedi Risolvere i problemi relativi a CMEK e alle impostazioni predefinite.