このドキュメントでは、Cloud Logging がログデータの保存に使用するコンテナであるログバケットについて説明します。ログバケットのロケーション、暗号鍵の管理、データの保持に関する情報のほか、組織のポリシーまたはデフォルトのリソース設定を使用して、フォルダまたは組織内の新しいログバケットのロケーションと暗号化を制御できる場所についても説明します。
ログバケットについて
Cloud Logging では、お客様のコンテンツを保存時に暗号化するのがデフォルトの動作です。Logging によってログバケットに保存されたデータは、暗号鍵を使用して暗号化されます。これはエンベロープ暗号化と呼ばれるプロセスです。ロギングデータにアクセスするには、これらの鍵暗号鍵にアクセスする必要があります。デフォルトでは、これらは Google Cloud-powered encryption keys で、お客様側でのご対応は必要ありません。
お客様の組織には、デフォルトの保存時の暗号化で提供されない規制、コンプライアンス関連の暗号化、高度な暗号化要件がある場合があります。組織の要件を満たすため、Google Cloud-powered encryption keysを使用する代わりに、独自の鍵を管理できます。
ログバケットは、固定された場所にあるリージョン リソースです。アプリケーションがそのリージョン内のゾーン全体で冗長的に利用できるよう、 Trusted Cloud by S3NS がインフラストラクチャを管理します。
ログバケットによって保存されるデータの保持期間は、ログバケットによって異なります。このドキュメントでは、データの保持について説明します。
ログバケットのログビューを作成できます。ログビューは、ログバケットに保存されているログデータのサブセットのみへのアクセスを提供します。Cloud Logging は、すべてのログバケットに対して、ログバケット内のすべてのログエントリへのアクセスを提供する 1 つのログビューを自動的に作成します。ログビューへのアクセスは、Identity and Access Management(IAM)を使用して制御します。
ログデータをクエリして表示するには、[ログ エクスプローラ] を使用します。このページは、サービスとアプリケーションのパフォーマンスのトラブルシューティングと分析に役立ちます。個々のログエントリを表示したり、ログデータをフィルタしたりできます。このインターフェースにはスコープ設定があり、プロジェクト、ログバケット、ログビューでログデータを検索できます。
詳細については、ログエントリのクエリと表示をご覧ください。
組織とフォルダのサポート
組織がコンプライアンスと規制のニーズを満たせるよう、Logging は組織のポリシーとデフォルトのリソース設定の両方をサポートしています。
デフォルトのリソース設定では、フォルダまたは組織に新しいリソースが作成されたときに、システムによって作成されるログバケットの場所と暗号鍵の管理方法が指定されます。たとえば、システムによって作成されるログバケットを特定のロケーションに強制的に配置できます。
組織のポリシーを使用して、新しいユーザー定義ログバケットのロケーションを制限できます。Logging は、ログバケットを作成できるリージョンと作成できないリージョンを指定する組織のポリシーをサポートしています。
システムによって作成されるログバケット
Trusted Cloud プロジェクト、請求先アカウント、フォルダ、組織ごとに、Cloud Logging は 2 つのログバケットを作成します。一つは _Required、もう一つは _Default という名前です。デフォルトのリソース設定が構成されていない場合、これらのログバケットにはGoogle Cloud-powered encryption keys が含まれ、Cloud Logging によってロケーションが選択されます。
システムによって作成されるログバケットは削除できません。
_Required ログバケット
_Required ログバケットには、コンプライアンスまたは監査目的に必要なログエントリが保存されます。そのため、このログバケットを削除したり、このログバケットに保存されるログエントリを変更したりすることはできません。このログバケットのログエントリは 400 日間保持されます。この保持期間は変更できません。
リソースの _Required ログバケットに保存されるログエントリも、そのリソースから発生します。つまり、 Trusted Cloud プロジェクトの _Required ログバケットには、そのプロジェクトで発生したログエントリのみを保存できます。
_Required ログバケットには、次のタイプのログエントリが保存されます。
- 管理アクティビティ監査ログ
- システム イベント監査ログ
- Google Workspace 管理者監査ログ
- Enterprise グループ監査ログ
- ログイン監査ログ
_Default ログバケット
_Default ログバケットには、_Required ログバケットに自動的に保存されないログエントリが保存されます。_Default ログバケットはシステムによって作成されるため、削除できません。ただし、このログバケットに保存されるログエントリは変更できます。
_Default バケットに 30 日間保持します。
たとえば、このログバケットには次のログが保存されます。
- データアクセスの監査ログ。
- ポリシー拒否の監査ログ。
- アプリケーションと Trusted Cloud by S3NS サービスによって生成されたログ。
ユーザー定義のログバケット
任意のTrusted Cloud プロジェクトでユーザー定義のログバケットを作成できます。ユーザー定義のログバケットを作成するときに、ロケーションを選択します。顧客管理の暗号鍵を指定することもできます。
ユーザー定義のログバケットは変更および削除できます。保持期間内のログエントリを保存するログバケットが削除されないようにするには、ログバケットを更新からロックします。
ログバケットへのアクセスを制御する
ログデータへのアクセスは、IAM の権限とロールで制御します。たとえば、次のすべてを行うことができます。
- ログバケットに対する読み取りと編集のアクセス権を付与する。
- タグを使用して、グループ メンバーシップに基づいてログバケットへの編集アクセス権を付与する。
- ログバケットに対するフィールド レベルのアクセスを構成して、ログエントリ内の特定のフィールドへのアクセスを制御する。
ログバケットにログビューを作成して、ログバケット内のログエントリのサブセットへのアクセス権を付与する。
すべてのログバケットにはデフォルトのログビューがあります。通常、このビューにはログバケット内のすべてのログエントリが含まれます。
_Defaultログバケットの場合、デフォルトのログビューではデータアクセス ログエントリが除外されます。
ログエントリの表示と分析に必要な権限をユーザーに付与するには、通常、次のいずれかの IAM ロールを付与します。
ログ閲覧者(
roles/logging.viewer)ロール:_Requiredバケット内のすべてのログエントリと、_Defaultバケットのデフォルトのログビューへのアクセス権を付与します。プライベート ログ閲覧者(
roles/logging.privateLogViewer)ロール: データアクセス ログを含む、_Requiredバケットと_Defaultバケットのすべてのログへのアクセス権を付与します。
ユーザー定義のログバケットまたはログバケットのログビューを作成する場合は、追加の権限が必要です。ロールの詳細については、IAM を使用したアクセス制御をご覧ください。
サポートされているリージョンのリスト
ログバケットは、リージョン リソースです。ログエントリの保存、インデックス登録、検索を行うインフラストラクチャは特定の地理的な場所にあります。global、eu、us リージョンのログバケットを例外として、このインフラストラクチャは、ユーザーのアプリケーションをログバケットのリージョン内のゾーン全体で冗長的に利用できるように Trusted Cloud by S3NS が管理しています。
Cloud Logging では、次のリージョンがサポートされています。
| リージョン名 | リージョンの説明 |
|---|---|
u-france-east1 |
フランス |
global |
サポートされているリージョン内の任意のデータセンターに保存されているログ。ログが別のデータセンターに移動される場合があります。追加の冗長性は保証されません。 ログデータの保存場所を選択する場合は、リージョン ログバケットを使用します。 |