יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת CMEK ל-Cloud Logging

במאמר הזה מוסבר איך להגדיר ולנהל מפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud Logging כדי לעמוד בדרישות התאימות של הארגון. בארגונים ובתיקיות, אפשר להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לאלץ שימוש ב-CMEK בדליים חדשים. כשמגדירים את Cloud Logging, כל מאגרי היומנים החדשים בארגון או בתיקייה מוצפנים באמצעות מפתח בניהול הלקוח.

בארגונים ובתיקיות, אפשר להגדיר הגדרות ברירת מחדל למשאבים ב-Cloud Logging. כשיוצרים משאבים חדשים, המשאבים האלה מקבלים בירושה את ההגדרות של משאב האב שלהם. לדוגמה, נניח שהגדרתם את הגדרות ברירת המחדל של המשאבים בארגון ל-Cloud Logging כך שיכללו הגדרת CMEK. בהגדרה הזו, כל דלי יומנים חדש של _Default ושל _Required שנוצר בפרויקטים, בתיקיות או בחשבונות לחיוב בארגון שלכם מוצפן באמצעות מפתח ברירת המחדל. בנוסף, אם יוצרים קטגוריית יומנים בהתאמה אישית במשאב שהוא צאצא של הארגון, מפתח ברירת המחדל ישמש באופן אוטומטי אלא אם מספקים מפתח אחר כשיוצרים את קטגוריית היומנים.

ההוראות במדריך הזה מבוססות על Google Cloud CLI.

סקירה כללית

כברירת מחדל, Cloud Logging מצפין את התוכן של הלקוחות במצב מנוחה. הרישום מתבצע באופן אוטומטי, ללא צורך בפעולות נוספות מצדכם. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Logging. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבי Logging דומה לשימוש בהצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

אם הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כוללות הגדרת CMEK, יקרו הדברים הבאים:

הצפנה אוטומטית של דליים חדשים של יומנים בארגון או בתיקייה באמצעות המפתח שהוגדר. עם זאת, אפשר לשנות את המפתח הזה או ליצור מאגרי יומנים ולציין מפתח אחר. מידע נוסף זמין במאמר הגדרת CMEK לקטגוריות ביומן.

לפני שמתחילים

כדי להתחיל, מבצעים את השלבים הבאים:

לפני שיוצרים קטגוריה ביומן עם הפעלת CMEK, כדאי לעיין במגבלות.
התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:
```
gcloud init
```
הערה: אם התקנתם את ה-CLI של gcloud, השתמשו בפקודה gcloud components update כדי לבדוק אם מותקנת הגרסה העדכנית.
מגדירים את הפרויקט שבו מתכננים ליצור את המפתחות: Cloud de Confiance
1. כדי לקבל את ההרשאות שנדרשות ליצירת מפתחות, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של Cloud KMS (roles/cloudkms.admin) בפרויקט. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
  
  יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
2. הפעלת Cloud KMS API.
3. יצירה של אוסף מפתחות ומפתחות
  
  המיקום של קטגוריה ביומן צריך להיות זהה למיקום של המפתח. מידע על אזורים נתמכים זמין במאמר אזורים נתמכים לרישום ביומן.
  
  אם הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כוללות הגדרת CMEK, אז מאגרי יומנים חדשים שנוצרים בארגון או בתיקייה מוגדרים אוטומטית ל-CMEK. בנוסף, מכיוון שהמיקום של קטגוריה ביומן חייב להיות זהה למיקום של המפתח, אם הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כוללות הגדרת CMEK, לא תוכלו ליצור קטגוריות ביומן באזור global.
מוודאים שתפקיד ה-IAM שלכם בארגון או בתיקייה שרוצים להגדיר בהם את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כולל את ההרשאות הבאות ב-Cloud Logging:
- logging.settings.get
- logging.settings.update

הפעלת CMEK בארגון או בתיקייה

כדי להפעיל CMEK בCloud de Confiance תיקייה או בארגון, פועלים לפי ההוראות הבאות.

איך קובעים את המזהה של חשבון השירות

כדי לזהות את מזהה חשבון השירות שמשויך לארגון או לתיקייה שעליהם יחול CMEK, מריצים את הפקודה הבאה gcloud logging settings describe:

FOLDER

 gcloud logging settings describe --folder=FOLDER_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

‫FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.

ארגון

gcloud logging settings describe --organization=ORGANIZATION_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

‫ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את מספר הארגון מוסבר איך לקבל את המזהה הזה.

הפקודה הקודמת יוצרת חשבונות שירות לארגון או לתיקייה, אם הם לא קיימים. הפקודה מחזירה גם את המזהים של שני חשבונות שירות, אחד בשדה kmsServiceAccountId והשני בשדה loggingServiceAccountId. כדי להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיכללו הגדרת CMEK, משתמשים בערך שבשדה kmsServiceAccountId.

בדוגמה הבאה מוצגת תשובה לדוגמה לפקודה הקודמת כשמציינים ארגון:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com
name: organizations/ORGANIZATION_ID/settings

מריצים את תהליך הקצאת ההרשאות פעם אחת לכל משאב. הפעלת הפקודה describe מספר פעמים מחזירה את אותו ערך בשדה kmsServiceAccountId.

אם אי אפשר להשתמש ב-Google Cloud CLI, מריצים את שיטת Cloud Logging API‏ getSettings.

הקצאת התפקיד 'הצפנה/פענוח'

כדי להשתמש ב-CMEK, צריך להקצות לחשבון השירות את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter כדי לתת לו הרשאה להשתמש ב-Cloud KMS:

gcloud

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member=serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

‫KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב מ Cloud de Confiance שם הפרויקט וממספר שהוקצה באופן אקראי, של הפרויקט Cloud de Confiance שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.
‫KMS_SERVICE_ACCT_NAME: השם של חשבון השירות שמוצג בשדה kmsServiceAccountId בתגובה של הפקודה gcloud logging settings describe.
‫KMS_KEY_LOCATION: האזור של מפתח Cloud KMS.
‫KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.
‫KMS_KEY_NAME: שם המפתח של Cloud KMS. הפורמט הוא: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

המסוף

נכנסים לדף Key management במסוף Cloud de Confiance .
מעבר אל 'ניהול מפתחות'
בוחרים את השם של אוסף המפתחות שמכיל את המפתח.
מסמנים את התיבה של המפתח.

הכרטיסייה Permissions (הרשאות) מופיעה.
בתיבת הדו-שיח Add members, מציינים את כתובת האימייל של חשבון השירות של Logging שרוצים להעניק לו גישה.
בתפריט Select a role, בוחרים באפשרות Cloud KMS CryptoKey Encrypter/Decrypter.
לוחצים על הוספה.

הגדרת מדיניות הארגון

הרישום ביומן תומך במדיניות הארגון שיכולה לדרוש הגנה באמצעות CMEK ולהגביל את השימוש במפתחות הצפנה של Cloud KMS להגנה באמצעות CMEK:

כש-logging.googleapis.com נמצא ברשימת המדיניות של השירותים Deny עבור האילוץ constraints/gcp.restrictNonCmekServices, Logging מסרב ליצור דליים חדשים שהוגדרו על ידי המשתמש ושלא מוגנים באמצעות CMEK. עם זאת, האילוץ הזה לא מונע מ-Cloud Logging ליצור את קטגוריות היומנים _Required ו-_Default, שנוצרות כשיוצרים פרויקטCloud de Confiance .
כשמפעילים את האילוץ constraints/gcp.restrictCmekCryptoKeyProjects, שירות Logging יוצר משאבים שמוגנים באמצעות CMEK, ומוגנים באמצעות CryptoKey מפרויקט, מתיקייה או מארגון מורשים.

מידע נוסף על CMEK ועל מדיניות הארגון זמין במאמר מדיניות הארגון לגבי CMEK.

חשוב לוודא שהגדרות ברירת המחדל של המשאבים ב-Cloud Logging עקביות עם מדיניות הארגון. בארגונים ובתיקיות, אם אתם מתכננים לשנות את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging, לפני שאתם מעדכנים את ההגדרות האלה, כדאי לבדוק את מדיניות הארגון ולעדכן אותה במידת הצורך.

כדי להציג או להגדיר מדיניות ארגונית:

נכנסים לדף Organization Policies במסוף Cloud de Confiance :
עוברים אל מדיניות הארגון.

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שמופיע בה הכותרת המשנית IAM & Admin.
בוחרים את הארגון.
בודקים את המגבלות שספציפיות ל-CMEK, ואם צריך, מעדכנים אותן.

מידע על שינוי מדיניות הארגון זמין במאמר יצירה ועריכה של כללי מדיניות.

הגדרת Cloud Logging עם מפתח Cloud KMS

כדי לעדכן את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיכללו הגדרת CMEK, מריצים את הפקודה הבאה gcloud logging settings update:

FOLDER

gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

‫FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.
‫KMS_KEY_LOCATION: האזור של מפתח Cloud KMS.
‫KMS_KEY_NAME: שם המפתח של Cloud KMS. הפורמט הוא: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
‫KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.
‫KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב מ Cloud de Confiance שם הפרויקט וממספר שהוקצה באופן אקראי, של הפרויקט Cloud de Confiance שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.

הפקודה הקודמת מעדכנת את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לאחסן מידע על מפתח Cloud KMS. צריך לוודא שמיקום ברירת המחדל לאחסון של התיקייה מוגדר לערך של KMS_KEY_LOCATION. אם לא הגדרתם את מיקום ברירת המחדל לאחסון, או אם הערך של המיקום הזה לא תואם לערך של KMS_KEY_LOCATION, צריך להוסיף את הפקודה הבאה לפקודה הקודמת:

--storage-location=KMS_KEY_LOCATION

הדגל --storage-location מאפשר להגדיר או לעדכן את מיקום ברירת המחדל לאחסון התיקייה.

ארגון

gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

‫ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את מספר הארגון מוסבר איך לקבל את המזהה הזה.
‫KMS_KEY_LOCATION: האזור של מפתח Cloud KMS.
‫KMS_KEY_NAME: שם המפתח של Cloud KMS. הפורמט הוא: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
‫KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.
‫KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב מ Cloud de Confiance שם הפרויקט וממספר שהוקצה באופן אקראי, של הפרויקט Cloud de Confiance שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.

הפקודה הקודמת מעדכנת את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לאחסן מידע על מפתח Cloud KMS. צריך לוודא שמיקום האחסון שמוגדר כברירת מחדל לארגון מוגדר לערך של KMS_KEY_LOCATION. אם לא הגדרתם את מיקום ברירת המחדל לאחסון, או אם הערך של המיקום הזה לא תואם לערך של KMS_KEY_LOCATION, צריך להוסיף את הפקודה הבאה לפקודה הקודמת:

--storage-location=KMS_KEY_LOCATION

הדגל --storage-location מאפשר להגדיר או לעדכן את מיקום האחסון שמוגדר כברירת מחדל בארגון.

אחרי שמחילים את המפתח, מאגרי יומנים חדשים בארגון או בתיקייה מוגדרים להצפנת הנתונים במצב מנוחה באמצעות המפתח הזה. אפשר גם לשנות את המפתחות עבור מאגרי יומנים ספציפיים. אי אפשר ליצור מאגרי יומנים באזור global כי צריך להשתמש במפתח שהאזור שלו תואם להיקף האזורי של הנתונים.

אם אי אפשר להשתמש ב-Google Cloud CLI, מריצים את שיטת Cloud Logging API‏ updateSettings.

אימות ההפעלה של המפתח

כדי לוודא שהפעלתם בהצלחה את CMEK בארגון או בתיקייה, מריצים את הפקודה הבאה של gcloud logging settings describe:

FOLDER

gcloud logging settings describe --folder=FOLDER_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

‫FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.

ארגון

gcloud logging settings describe --organization=ORGANIZATION_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

‫ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את מספר הארגון מוסבר איך לקבל את המזהה הזה.

אם הפקודה הקודמת מחזירה את שם מפתח Cloud KMS בשדה kmsKeyName, סימן שהפעלתם CMEK בארגון או בתיקייה:

kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com

ניתוב יומנים ליעדים נתמכים

אפשר להגדיר את קטגוריות היומנים ב-Cloud Logging להצפנת נתונים באמצעות CMEK. בארגונים ובתיקיות, אם מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging עם הגדרת CMEK, אז דליים חדשים של יומנים בארגון או בתיקייה משתמשים אוטומטית ב-CMEK. אפשר לשנות את המפתח של מאגרי היומנים האלה, וליצור מאגרי יומנים שמשתמשים במפתח KMS שונה מזה שמוגדר בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging.

מידע על CMEK שמוחל על קטגוריות ביומן, כולל איך לשנות מפתחות ומגבלות כשמפעילים CMEK בקטגוריה ביומן, מופיע במאמר הגדרת CMEK לקטגוריות ביומן.

כברירת מחדל, ב-Pub/Sub מוצפן התוכן של הלקוחות שמאוחסן במנוחה. מידע נוסף זמין במאמר בנושא הגדרת הצפנת הודעות.

ניהול מפתח Cloud KMS

בקטעים הבאים מוסבר איך לשנות את מפתח Cloud KMS, לבטל את הגישה אליו או להשבית אותו.

שינוי מפתח Cloud KMS

כדי לשנות את מפתח Cloud KMS שמשויך לארגון או לתיקייה, יוצרים מפתח ואז מריצים את הפקודה gcloud logging settings update ומזינים מידע על מפתח Cloud KMS החדש:

FOLDER

gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

צריך לוודא שמיקום ברירת המחדל לאחסון של התיקייה מוגדר לערך של KMS_KEY_LOCATION. אם לא הגדרתם את מיקום ברירת המחדל לאחסון, או אם הערך של המיקום הזה לא תואם לערך של KMS_KEY_LOCATION, צריך להוסיף את הפקודה הבאה לפקודה הקודמת:

--storage-location=NEW_KMS_KEY_LOCATION

ארגון

gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

צריך לוודא שמיקום האחסון שמוגדר כברירת מחדל לארגון מוגדר לערך של KMS_KEY_LOCATION. אם לא הגדרתם את מיקום ברירת המחדל לאחסון, או אם הערך של המיקום הזה לא תואם לערך של KMS_KEY_LOCATION, צריך להוסיף את הפקודה הבאה לפקודה הקודמת:

--storage-location=NEW_KMS_KEY_LOCATION

שלילת הגישה למפתח Cloud KMS

כדי לבטל את הגישה של Logging למפתח Cloud KMS, צריך להסיר את הרשאת ה-IAM של חשבון השירות שהוגדר למפתח הזה.

אם מסירים את הגישה של Logging למפתח, יכול להיות שיעבור עד שעה עד שהשינוי ייכנס לתוקף.

כדי לבטל את הגישה של Logging למפתח Cloud KMS, מריצים את הפקודה הבאה של Google Cloud CLI:

gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member=serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

‫KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב מ Cloud de Confiance שם הפרויקט וממספר שהוקצה באופן אקראי, של הפרויקט Cloud de Confiance שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.
‫KMS_SERVICE_ACCT_NAME: השם של חשבון השירות שמוצג בשדה kmsServiceAccountId בתגובה של הפקודה gcloud logging settings describe.
‫KMS_KEY_LOCATION: האזור של מפתח Cloud KMS.
‫KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.
‫KMS_KEY_NAME: שם המפתח של Cloud KMS. הפורמט הוא: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

השבתת CMEK

השבתת CMEK בארגון או בתיקייה מסירה את האכיפה של מדיניות CMEK רק לגבי פעולות עתידיות. כל ההגדרות שהוחלו בעבר יישארו ללא שינוי.

כדי להשבית את CMEK במשאב שבו CMEK מוגדר כחלק מהגדרות ברירת המחדל של המשאב ב-Cloud Logging, מריצים את הפקודה הבאה ב-Google Cloud CLI:

FOLDER

gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

‫FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.

ארגון

gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

‫ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את מספר הארגון מוסבר איך לקבל את המזהה הזה.

אם רוצים להשמיד את המפתח, אפשר לעיין במאמר בנושא השמדה ושחזור של גרסאות מפתח.

שיקולים לגבי רוטציית מפתחות ב-Cloud KMS

‫Cloud Logging לא מבצע רוטציה אוטומטית למפתח ההצפנה של קבצים זמניים לשחזור נתונים אחרי אסון, כשמתבצעת רוטציה של מפתח Cloud KMS שמשויך ל Cloud de Confiance ארגון או לתיקייה. בקבצים הקיימים של שחזור ממשיכים להשתמש בגרסת המפתח שבאמצעותה הם נוצרו. בקובצי שחזור חדשים נעשה שימוש בגרסה הנוכחית של המפתח הראשי.

מגבלות

אלה המגבלות הידועות כשמגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיכללו הגדרת CMEK.

קבצים לא זמינים בגלל אסון

מפתח Cloud KMS נחשב לזמין ונגיש ל-Logging אם מתקיימים שני התנאים הבאים:

המפתח מופעל.
לחשבון השירות שמופיע בשדה kmsServiceAccountId בתשובה של הפקודה gcloud logging settings describe יש הרשאות הצפנה ופענוח במפתח.

אם ל-Logging אין יותר גישה למפתח Cloud KMS, הוא לא יכול לכתוב קבצים זמניים לשחזור אחרי אסון, והשאילתות של המשתמשים מפסיקות לפעול. יכול להיות שביצועי השאילתות יישארו ירודים גם אחרי שחזרתם לקבל גישה למפתח.

זמינות של ספריית לקוח

ספריות לקוח לרישום ביומן לא מספקות שיטות להגדרת CMEK.

ירידה ברמת השירות עקב חוסר זמינות של מפתחות Cloud EKM

כשמשתמשים במפתח Cloud EKM, ל-Google אין שליטה על הזמינות של המפתח שמנוהל באופן חיצוני במערכת של השותף החיצוני לניהול מפתחות.

אם הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כוללות הגדרת CMEK, ומפתח בניהול חיצוני לא זמין, מערכת Cloud Logging תנסה שוב ושוב לגשת למפתח. ‫Cloud Logging גם מאחסן באופן זמני את נתוני היומן הנכנסים למשך שעה לכל היותר. אם אחרי שעה ל-Cloud Logging עדיין אין גישה למפתח שמנוהל חיצונית, המערכת מתחילה להשליך את הנתונים.

אם CMEK מוחל על קטגוריה ביומן, ואם מפתח שמנוהל חיצונית לא זמין, Cloud Logging ממשיך לאחסן יומנים בקטגוריות ביומן, אבל המשתמשים לא יוכלו לגשת לנתונים האלה.

במסמכי התיעוד של Cloud External Key Manager מפורטים שיקולים נוספים ואפשרויות חלופיות לשימוש במפתחות חיצוניים.

מגבלות על קטגוריות של יומנים

מידע על מגבלות השימוש ב-CMEK עם מאגרי יומנים מופיע במאמר מגבלות.

מכסות

פרטים על מגבלות השימוש ב-Logging מופיעים במאמר מכסות ומגבלות.

פתרון בעיות בהגדרות

מידע על פתרון בעיות בהגדרת CMEK זמין במאמר פתרון בעיות בהגדרות ברירת המחדל של משאבים ו-CMEK ב-Cloud Logging.