Configura le impostazioni predefinite delle risorse per Cloud Logging

Questo documento descrive come configurare le impostazioni predefinite delle risorse per Cloud Logging. Queste impostazioni ti consentono di controllare dove vengono creati i nuovi bucket di log creati dal sistema, se CMEK è obbligatoria per i bucket di log e la configurazione del sink di log _Default. Puoi configurare queste impostazioni per organizzazioni e cartelle e le impostazioni vengono ereditate dalle risorse figlio. Configura le impostazioni predefinite delle risorse per Cloud Logging utilizzando Google Cloud CLI.

Panoramica

La risorsa dell'organizzazione si trova al livello più alto della Cloud de Confiance gerarchia delle risorse. La risorsa organizzazione è il parent di queste risorse secondarie: Cloud de Confiance progetti, cartelle, account di fatturazione e, per quanto riguarda Logging, bucket di log.

Per organizzazioni e cartelle, puoi configurare le impostazioni delle risorse predefinite per Cloud Logging. Queste impostazioni ti consentono di specificare la posizione dei bucket di log, il modello di crittografia e la configurazione del sink di log predefinito. Le risorse figlio ereditano le impostazioni predefinite della risorsa padre.

Puoi utilizzare le impostazioni predefinite delle risorse per Cloud Logging per configurare quanto segue:

• Indica se i nuovi bucket di log in una risorsa devono essere criptati con una chiave gestita dal cliente e, in caso affermativo, la chiave Cloud KMS da utilizzare per la crittografia.

• La posizione di archiviazione per i nuovi bucket di log _Default e _Required creati dalle risorse secondarie e per le query salvate dalla pagina Esplora log. Impostando la posizione di archiviazione, puoi controllare dove vengono archiviati i log.

  Se una risorsa ha impostazioni predefinite per Cloud Logging che specificano una posizione di archiviazione, ma non ha un'impostazione CMEK, i nuovi bucket di log nella risorsa non richiedono CMEK.

• Indica se il sink dei log _Default è attivato o disattivato per i nuovi progetti nella risorsa.

• I filtri di inclusione o esclusione applicati a tutti i nuovi sink _Default nelle risorse secondarie.

Configurazioni di esempio:

• Per un'organizzazione, le impostazioni predefinite delle risorse per Cloud Logging specificano una posizione di archiviazione. Per i nuovi progetti nell'organizzazione, i bucket log _Default e _Required vengono creati nella località specificata. Inoltre, le query salvate dalla pagina Esplora log vengono archiviate nella posizione specificata. Queste query includono le query recenti salvate automaticamente dopo l'esecuzione e le query salvate dai membri del progettoCloud de Confiance .

• Per un'organizzazione, le impostazioni predefinite delle risorse per Cloud Logging specificano una posizione di archiviazione. Inoltre, per una cartella dell'organizzazione, le impostazioni predefinite delle risorse per Cloud Logging specificano una posizione di archiviazione diversa. Per i nuovi progetti presenti nella cartella, i bucket _Default e _Required vengono creati nella posizione specificata dalle impostazioni della cartella. Per i progetti che non si trovano nella cartella, i bucket _Default e _Required vengono creati nella posizione specificata dalle impostazioni dell'organizzazione.

• Per un'organizzazione, configura le impostazioni delle risorse predefinite per Cloud Logging per specificare una località e CMEK. Per la cartella denominata Non-CMEK, configuri le impostazioni delle risorse predefinite per Cloud Logging in modo da specificare solo una località. Se crei un progetto che non si trova nella cartella denominata Non-CMEK, i bucket _Default e _Required vengono creati nella stessa posizione della chiave Cloud Key Management Service e questi bucket di log vengono criptati da questa chiave. Tuttavia, se crei un nuovo progetto nella cartella denominata Non-CMEK, i relativi bucket di log vengono creati nelle posizioni specificate dall'impostazione della cartella e non vengono criptati da CMEK.

• Per un'organizzazione, configura le impostazioni predefinite delle risorse per Cloud Logging in modo da applicare un filtro di esclusione che si applichi ai nuovi sink _Default. Il filtro esclude gli audit log di accesso ai dati dal routing tramite il sink _Default in tutte le risorse secondarie, il che impedisce l'archiviazione degli audit log di accesso ai dati nel bucket _Default.

Prima di iniziare

Questo documento non contiene informazioni su come configurare le impostazioni predefinite delle risorse per Cloud Logging in modo che abbiano un'impostazione CMEK. Per informazioni su questo argomento, consulta Configurare CMEK per Logging.

Segui questi passaggi:

1. Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata. Dopo aver eseguito l'accesso, inizializza Google Cloud CLI eseguendo il comando seguente:

   gcloud init

2. Assicurati che il tuo ruolo Identity and Access Management nell'organizzazione o nella cartella includa la seguente autorizzazione Cloud Logging:

   • logging.settings.get
   • logging.settings.update

3. Identifica la posizione in cui vuoi archiviare i log e le query. Per un elenco delle posizioni di archiviazione supportate, consulta Regioni supportate.

Visualizza le impostazioni predefinite delle risorse per Cloud Logging

Per visualizzare le impostazioni predefinite delle risorse per Cloud Logging, utilizza il comando gcloud logging settings describe:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Il comando precedente restituisce informazioni sulle impostazioni predefinite delle risorse per Cloud Logging. Di seguito è riportato un esempio di risposta:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com
storageLocation: u-france-east1
disableDefaultSink: false

Il valore di SERVICE_ACCT_NAME potrebbe avere il formato cmek-12345 o service-12345@.... Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging getSettings.

Impostare la posizione di archiviazione

I bucket di log sono i container nei tuoi progetti, account di fatturazione, cartelle e organizzazioniCloud de Confiance che archiviano e organizzano i dati di log. Per ogni progetto, account di fatturazione, cartella e organizzazione Cloud de Confiance , Logging crea automaticamente due bucket di log: _Required e _Default, che vengono archiviati automaticamente nella località global.

Per le organizzazioni e le cartelle, le impostazioni predefinite delle risorse per Cloud Logging controllano dove vengono creati i nuovi bucket di log _Required e _Default e dove vengono archiviate le query eseguite nella pagina Esplora log. Le posizioni delle query e dei bucket di log esistenti non vengono modificate.

Per organizzazioni e cartelle, quando configuri le impostazioni delle risorse predefinite per Cloud Logging per specificare una località, si verifica quanto segue:

• Per le nuove risorse secondarie create nell'organizzazione o nella cartella, i bucket _Required e _Default ereditano le impostazioni predefinite delle risorse principali.

• Specifica la posizione di archiviazione per le query nuove e recenti eseguite nella pagina Esplora log.

Quando le impostazioni predefinite delle risorse per Cloud Logging specificano una località, questa non si applica ai bucket di log definiti dall'utente o alle query salvate utilizzando l'API Logging.

Configura le policy dell'organizzazione

Il logging supporta le policy dell'organizzazione che possono limitare la posizione in cui possono essere archiviati i dati. Se esiste un criterio di questo tipo per la tua organizzazione, puoi creare bucket di log solo nelle località consentite dal criterio.

Quando esiste un criterio dell'organizzazione che specifica un vincolo di località, i valori del criterio per il vincolo devono includere la località specificata nelle impostazioni predefinite delle risorse per Cloud Logging. Prima di aggiornare le impostazioni predefinite delle risorse per Cloud Logging, esamina e, se necessario, aggiorna le policy dell'organizzazione.

Per visualizzare o aggiornare le policy dell'organizzazione:

1. Nella console Cloud de Confiance , vai alla pagina Policy dell'organizzazione:

   Vai a Policy dell'organizzazione

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.

2. Seleziona la tua organizzazione.

3. Visualizza e, se necessario, aggiorna il vincolo con l'ID constraints/gcp.resourceLocations. Se questo vincolo non è configurato, non è necessario un aggiornamento.

   Per informazioni su come visualizzare vincoli specifici e come modificarli, consulta Creazione e modifica delle policy.

Imposta la posizione di archiviazione per i nuovi bucket di log creati dal sistema

Per configurare le impostazioni predefinite delle risorse per Cloud Logging in modo da specificare un'impostazione della località, esegui il comando gcloud logging settings update e includi il flag --storage-location:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging updateSettings.

Per informazioni sulla risoluzione degli errori, vedi Risolvere i problemi relativi all'impostazione della località per i nuovi bucket di log creati dal sistema.

Configura il sink _Default

Logging fornisce un sink _Default predefinito per ogni risorsa di progetto, account di fatturazione, cartella e organizzazioneCloud de Confiance . Qualsiasi log generato nella risorsa che corrisponde al filtro di inclusione e che non è escluso viene indirizzato al bucket _Default predefinito della risorsa, denominato di conseguenza.

Per organizzazioni e cartelle, le impostazioni predefinite delle risorse per Cloud Logging consentono di configurare il seguente comportamento del sink _Default:

• Puoi disattivare la creazione di un sink _Default per le nuove risorse secondarie.

• Puoi configurare un filtro di inclusione o diversi filtri di esclusione che si applicano ai sink _Default dei nuovi progetti.

Disattiva il sink _Default

Puoi disattivare i sink _Default per tutte le nuove risorse in un'organizzazione o una cartella; la disattivazione dei sink _Default impedisce l'archiviazione dei log nel bucket _Default della risorsa. Se interrompi l'archiviazione dei log in un bucket _Default di una risorsa, i log che sarebbero stati indirizzati a quel bucket vengono esclusi dall'archiviazione in Logging, a meno che non siano inclusi esplicitamente in un altro sink definito dall'utente per quella risorsa.

Per disattivare i sink _Default per una risorsa e le relative risorse secondarie, esegui questo comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Il flag disable-default-sink si applica solo al sink _Default che indirizza i log nel bucket _Default.

Puoi riattivare i sink _Default eseguendo il seguente comando gcloud logging settings update:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Configurare i filtri dei sink _Default

Il sink _Default predefinito indirizza tutte le voci di log che corrispondono ai criteri del sink al bucket _Default corrispondente. Puoi inviare un comando dell'API Cloud Logging per eseguire l'override del filtro di inclusione integrato nel sink _Default o per aggiungere un filtro. Il filtro di esclusione integrato per il sink _Default è vuoto. Tuttavia, il comando API ti consente anche di aggiungere filtri di esclusione.

Per specificare un filtro di inclusione o esclusione che viene applicato a tutti i sink _Default delle nuove risorse in un'organizzazione o una cartella, esegui il metodo dell'API Cloud Logging updateSettings e specifica l'oggetto defaultSinkConfig.

Puoi eseguire il metodo updateSettings utilizzando il widget Explorer API nella pagina di riferimento del metodo. L'esempio seguente illustra i parametri di esempio:

• name (URL): organizations/ORGANIZATION_ID/settings
• updateMask: "default_sink_config"

• Corpo della richiesta, che contiene un'istanza di Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Il filtro di inclusione integrato per il sink _Default include l'istruzione AND NOT LOG_ID("externalaudit.googleapis.com/activity"), che impedisce il routing degli audit log Attività di amministrazione al bucket di log _Default. Nell'esempio precedente, il filtro di inclusione viene modificato in modo che gli audit log Attività di amministrazione vengano indirizzati al bucket di log _Default. L'esempio aggiunge anche un filtro di esclusione che impedisce il routing degli audit log di accesso ai dati al bucket _Default. Nell'esempio precedente, il filtro di esclusione è denominato exclude-data-access.

Risolvere gli errori di configurazione

Per informazioni sulla risoluzione dei problemi, consulta Risolvi i problemi relativi a CMEK e alle impostazioni predefinite delle risorse per Cloud Logging.