組織とフォルダのデフォルト設定を構成する

このドキュメントでは、Google Cloud CLI を使用して Logging のデフォルトの設定を構成する方法について説明します。デフォルトの設定(組織またはフォルダに適用可能)は、次のことを決定します。

  • 新しいログバケットに顧客管理の暗号鍵(CMEK)が必要かどうか。
  • 新しい _Default バケットと _Required バケットのストレージ ロケーションと、[ログ エクスプローラ] ページまたは [ログ分析] ページで実行されるクエリのストレージ ロケーション。

  • _Default シンクが有効か無効か。

  • 新しいリソースの _Default シンクに適用されるフィルタ。

概要

組織リソースは、Google Cloud リソース階層の最上位にあります。組織リソースは、Google Cloud プロジェクト、フォルダ、請求先アカウント、Logging、ログバケットの子リソースの親です。

Google Cloud 組織とフォルダのデフォルト設定を使用するように Logging を構成できます。新しいリソースを作成すると、そのリソースは親のデフォルト設定を継承します。

Cloud Logging は、次のデフォルト設定をサポートしています。

  • リソース内の新しいログバケットを顧客管理の暗号鍵で暗号化するかどうか。暗号化する場合は、暗号化に使用するデフォルトの Cloud KMS 鍵。

  • 子リソースによって作成された新しい _Default ログバケットと _Required ログバケットのストレージ ロケーションと、[ログ エクスプローラ] ページまたは [ログ分析] ページで保存されたクエリのストレージ ロケーション。ストレージ ロケーションを設定すると、ログの保存場所を制御できます。

    リソースのデフォルトのストレージ ロケーションを設定し、そのリソースに CMEK を構成しない場合、リソースの新しいログバケットは CMEK を必要としません。

  • リソース内の新しいプロジェクトで _Default ログシンクが有効か無効か。

  • 子リソース内のすべての新しい _Default シンクに適用される一致フィルタまたは除外フィルタ。

構成例:

  • 組織のデフォルトのストレージ ロケーションを構成します。組織内の新しいプロジェクトの場合、_Default ログバケットと _Required ログバケットは指定された場所に作成されます。また、[ログ エクスプローラ] ページまたは [ログ分析] ページで保存されたクエリは、指定されたロケーションに保存されます。これらのクエリには、実行後に自動的に保存される最近のクエリと、Google Cloud プロジェクトのメンバーが保存したクエリが含まれます。

  • 組織のデフォルトのストレージ ロケーションを構成し、その組織内の各フォルダのデフォルトのストレージ ロケーションを構成します。フォルダ内の新しいプロジェクトの場合、_Default バケットと _Required バケットは、フォルダの設定で指定された場所に作成されます。フォルダ内に存在しないプロジェクトの場合、プロジェクトの _Default バケットと _Required バケットは組織の設定で指定された場所に作成されます。

  • 組織の CMEK を構成し、Non-CMEK という名前のフォルダにはデフォルトのストレージ ロケーションのみを設定します。Non-CMEK という名前のフォルダにないプロジェクトを作成する場合、_Default バケットと _Required バケットは Cloud Key Management Service 鍵と同じ場所に作成されます。これらのログバケットは、その鍵で暗号化されます。ただし、Non-CMEK という名前のフォルダに新しいプロジェクトを作成すると、そのログバケットはそのフォルダの設定で指定された場所に作成され、これらのログバケットは CMEK で暗号化されません。

  • 新しい _Default シンクに適用される除外フィルタを組織レベルで構成します。フィルタにより、すべての子リソースの _Default シンクを介して転送されるデータアクセス監査ログが除外され、データアクセス監査ログが _Default バケットに保存されなくなります。

始める前に

このドキュメントには、Logging のデフォルトの設定として CMEK を構成する方法についての情報は含まれていません。このトピックの詳細については、Logging に CMEK を構成するをご覧ください。

Logging のデフォルトの設定を開始するには、次のようにします。

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. デフォルト設定を構成する組織またはフォルダに対する Identity and Access Management ロールに、次の Cloud Logging 権限が含まれていることを確認します。

    • logging.settings.get
    • logging.settings.update

  3. ログとクエリを保存する場所を特定します。サポートされているストレージ ロケーションのリストについては、サポートされているリージョンをご覧ください。

    4. Logging のデフォルト設定を表示する

    デフォルトのストレージ ロケーションなど、Logging のデフォルト設定を表示するには、gcloud logging settings describe コマンドを使用します。

    フォルダ

     gcloud logging settings describe --folder=FOLDER_ID

    前述のコマンドを実行する前に、次のように置き換えます。

    組織

    gcloud logging settings describe --organization=ORGANIZATION_ID

    前述のコマンドを実行する前に、次のように置き換えます。

    • ORGANIZATION_ID: 組織の一意の数値識別子。この ID を取得する方法については、組織 ID の取得をご覧ください。

    上記のコマンドは、デフォルトの設定に関する情報を返します。たとえば、特定の組織のデフォルトの設定は、以下のとおりです。

    name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

    SERVICE_ACCT_NAME の値は、cmek-12345 または service-12345@... の形式にすることができます。Google Cloud CLI を使用できない場合は、Cloud Logging API メソッド getSettings を実行します。

    デフォルトのストレージ ロケーションを設定する

    ログバケットは、ログデータを保存して整理するGoogle Cloud プロジェクト、請求先アカウント、フォルダ、組織のコンテナです。 Google Cloud プロジェクト、請求先アカウント、フォルダ、組織ごとに、Logging によって _Required_Default の 2 つのログバケットが自動的に作成されます。これらは global ロケーションに自動的に保存されます。

    組織またはフォルダのデフォルトのストレージ ロケーションを設定すると、新しい _Required ログバケットと _Default ログバケットの作成場所と、[ログ エクスプローラ] ページと [ログ分析] ページで実行するクエリの保存場所を指定します。デフォルトのストレージ ロケーションを設定しても、既存のログバケットのロケーションには影響しません。同様に、保存したクエリの保存場所は変更されません。

    組織またはフォルダのデフォルトのストレージ ロケーションを構成すると、次の処理が行われます。

    • 組織またはフォルダで作成された新しい子リソースの場合、その _Required バケットと _Default バケットはデフォルトのストレージ ロケーションを継承します。
    • [ログ エクスプローラ] ページまたは [ログ分析] ページで実行する新しいクエリは、デフォルトのストレージ ロケーションに保存されます。このロケーションは、自動的に保存される最近のクエリにも適用されます。

    Cloud Logging のデフォルトのストレージ ロケーションは、ユーザー定義のログバケットや、Logging API を使用して保存されたクエリには適用されません。

    組織のポリシーを構成する

    Logging では、データを保存する場所を制限できる組織のポリシーがサポートされています。組織にこのようなポリシーが存在する場合は、ポリシーで許可されているロケーションにのみログバケットを作成できます。

    ロケーションの制約を指定する組織のポリシーが存在する場合、制約のポリシー値には、Logging のデフォルトの設定で指定されたロケーションを含める必要があります。さらに、デフォルトの設定を変更する場合は、デフォルトの設定を更新する前に、組織のポリシーを確認し、必要に応じて更新してください。

    組織のポリシーを表示または更新するには、次のようにします。

    1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

      [組織のポリシー] に移動

      このページを検索バーで検索する場合は、小見出しが「IAM と管理」の結果を選択します。

    2. 組織を選択します。

    3. ID が constraints/gcp.resourceLocations の制約を表示し、必要に応じて更新します。この制約が構成されていない場合、更新は必要ありません。

      特定の制約を表示する方法と、これらの制約を編集する方法については、ポリシーの作成と編集をご覧ください。

    Logging のデフォルトのストレージ ロケーションを構成する

    Cloud Logging のデフォルトのストレージ ロケーションを構成するには、gcloud logging settings update コマンドを実行して --storage-location フラグを指定します。

    フォルダ

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

    前のコマンドを実行する前に、次のように置き換えます。

    • FOLDER_ID: フォルダの一意の数値 ID。フォルダの使用方法については、フォルダの作成と管理をご覧ください。
    • LOCATION: 新しい _Default ログバケットと _Required ログバケットが作成され、クエリが保存されるロケーション。サポートされているロケーションの一覧については、サポートされているリージョンをご覧ください。

    組織

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

    前のコマンドを実行する前に、次のように置き換えます。

    • ORGANIZATION_ID: 組織の一意の数値識別子。この ID を取得する方法については、組織 ID の取得をご覧ください。
    • LOCATION: 新しい _Default ログバケットと _Required ログバケットが作成され、クエリが保存されるロケーション。サポートされているロケーションの一覧については、サポートされているリージョンをご覧ください。

    Google Cloud CLI を使用できない場合は、Cloud Logging API メソッド updateSettings を実行します。

    デフォルトのストレージ ロケーションの更新時にエラーを解決する方法については、デフォルトのリソース ロケーションの設定に関するトラブルシューティングをご覧ください。

    _Default シンクを構成する

    Logging は、Google Cloud プロジェクト、請求先アカウント、フォルダ、組織リソースごとに事前定義された _Default シンクを提供します。一致フィルタと一致し、除外されていないリソースで生成されたログは、リソースに事前に定義された _Default というバケットに転送されます。

    組織とフォルダの _Default シンクのデフォルト設定は、次のオプションを使用して構成できます。

    • 新しい子リソースの _Default シンクの作成を無効にできます。

    • 新しいプロジェクトの _Default シンクに適用される一致フィルタまたは複数の除外フィルタを構成できます。

    _Default シンクを無効にする

    組織内またはフォルダのすべての新しいリソースに対して _Default シンクを無効にできます。_Default シンクを無効にすると、ログがリソースの _Default バケットに保存されなくなります。リソースの _Default バケットへのログの保存を停止すると、そのバケットに転送されていたログが、そのリソースの別のユーザー定義のシンクに明示的に含まれていない限り、Logging のストレージから除外されます。

    リソースとその子リソースの _Default シンクを無効にするには、次の gcloud logging settings update コマンドを実行します。

    フォルダ

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

    前述のコマンドを実行する前に、次のように置き換えます。

    組織

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

    前述のコマンドを実行する前に、次のように置き換えます。

    • ORGANIZATION_ID: 組織の一意の数値識別子。この ID を取得する方法については、組織 ID の取得をご覧ください。

    disable-default-sink フラグは、_Default バケットにログを転送する _Default シンクにのみ適用されます。

    _Default シンクを再度有効にするには、次の gcloud logging settings update コマンドを実行します。

    フォルダ

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

    組織

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

    _Default シンクのデフォルト フィルタを構成する

    事前定義の _Default シンクは、シンク条件に一致するログエントリを対応する _Default バケットに転送します。Cloud Logging API コマンドを送信して、_Default シンクの組み込み一致フィルタをオーバーライドしたり、フィルタを追加できます。_Default シンクの組み込み除外フィルタは空です。ただし、API コマンドで除外フィルタを追加することもできます。

    組織またはフォルダの新しいリソースのすべての _Default シンクに適用される一致フィルタまたは除外フィルタを指定するには、Cloud Logging API のメソッド updateSettings を実行し、defaultSinkConfig オブジェクトを指定します。

    updateSettings メソッドは、メソッドのリファレンス ページにある API Explorer ウィジェットを使用して実行できます。次の例は、サンプル パラメータを示しています。

    • name(URL): organizations/ORGANIZATION_ID/settings
    • updateMask: "default_sink_config"

    • Settings のインスタンスを含むリクエスト本文:

      "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

    _Default シンクの組み込み一致フィルタには、AND NOT LOG_ID("externalaudit.googleapis.com/activity") ステートメントが含まれています。これにより、管理アクティビティ監査ログが _Default ログバケットに転送されなくなります。上の例では、管理アクティビティ監査ログが _Default ログバケットに転送されるように、一致フィルタが変更されています。この例では、データアクセスの監査ログが _Default バケットに転送されないようにする除外フィルタも追加します。上の例では、除外フィルタの名前は exclude-data-access です。

    構成エラーのトラブルシューティング

    トラブルシューティング情報については、CMEK とデフォルトの設定エラーのトラブルシューティングをご覧ください。