Inhabilitar Cloud Logging para la API Cloud Healthcare

Información general

En esta guía se explica cómo definir una restricción (constraints/gcp.disableCloudLogging) que inhabilite Cloud Logging para la API Cloud Healthcare a nivel de organización, proyecto o carpeta. La restricción no afecta a los registros de auditoría de Cloud. Los registros que se hayan generado antes de que se implementase no se eliminan y se puede acceder a ellos después de que se implemente.

Inhabilitar Cloud Logging en la API Cloud Healthcare

Para inhabilitar Cloud Logging en la API de Cloud Healthcare, debes tener el rol Administrador de la organización (roles/resourcemanager.organizationAdmin). Este rol solo se puede conceder a nivel de organización. Para definir o cambiar políticas de organización, debes tener el rol Administrador de políticas de organización (roles/orgpolicy.policyAdminrole).

Consola

Para inhabilitar Cloud Logging en la API de Cloud Healthcare, sigue estos pasos:

  1. Inicia sesión en la Google Cloud consola con una cuenta de superadministrador de Google Workspace o Cloud Identity y ve a la página Políticas de la organización:

    Ir a Políticas de organización

  2. Haz clic en Seleccionar y, a continuación, selecciona el proyecto, la carpeta o la organización de los que quieras ver las políticas de la organización. En la página Políticas de organización se muestra una lista filtrable de las restricciones de las políticas de organización disponibles.

  3. En la lista de políticas que aparece, selecciona Inhabilitar Cloud Logging para la API Cloud Healthcare. La política Inhabilitar Cloud Logging para la API Cloud Healthcare usa el ID constraints/gcp.disableCloudLogging. En la página Detalles de la política que aparece, se describe la restricción y se proporciona información sobre cómo se aplica.

  4. Para actualizar la política de la organización, haz clic en Gestionar política.

  5. En la página Editar política, selecciona Anular política del recurso superior.

  6. Haz clic en Añadir regla.

  7. En Implementación obligatoria, selecciona una opción:

    • Para habilitar la restricción e inhabilitar Cloud Logging en la API Cloud Healthcare, selecciona Activado.
    • Para inhabilitar la restricción y habilitar Cloud Logging en la API Cloud Healthcare, selecciona Desactivado.

  8. Para aplicar la política, haz clic en Definir política.

gcloud

  1. Obtén la política actual del recurso de organización con el comando describe:

    gcloud org-policies describe gcp.disableCloudLogging \
  --organization=ORGANIZATION_ID

    Sustituye el ORGANIZATION_ID: por el identificador único del recurso de organización. También puedes aplicar la política de organización a una carpeta o a un proyecto con las marcas --folder o --project, y el ID de carpeta y el ID de proyecto, respectivamente.

    Como no se ha definido ninguna política, se devuelve un error NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. Define la política en la organización con el comando set-policy.

    1. Crea un archivo temporal /tmp/policy.yaml para almacenar la política:

      name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
  rules:
  - enforce: true

    2. Ejecuta el comando set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

  3. Consulta la política vigente con el comando describe --effective:

    gcloud org-policies describe \
  gcp.disableCloudLogging --effective \
  --organization=ORGANIZATION_ID

    Después de ejecutar el comando, se muestra el siguiente resultado:

    name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
  rules:
  - enforce: true

Siguientes pasos

Consulta Usar restricciones para obtener más información sobre cómo crear una política de la organización con una restricción concreta.