השבתה של Cloud Logging עבור Cloud Healthcare API

סקירה כללית

במדריך הזה מוסבר איך להגדיר אילוץ (constraints/gcp.disableCloudLogging) שמשבית את Cloud Logging עבור Cloud Healthcare API ברמת הארגון, הפרויקט או התיקייה. ההגבלה לא משפיעה על יומני הביקורת של Cloud. יומנים שנוצרו לפני שההגבלה נכנסה לתוקף לא נמחקים, ואפשר לגשת אליהם אחרי שההגבלה נכנסה לתוקף.

השבתה של Cloud Logging עבור Cloud Healthcare API

כדי להשבית את Cloud Logging עבור Cloud Healthcare API, צריך להיות לכם התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin). אפשר לתת את התפקיד הזה רק ברמת הארגון. כדי להגדיר או לשנות מדיניות ארגונית, צריך להיות לכם התפקיד אדמין של מדיניות ארגונית (roles/orgpolicy.policyAdminrole).

המסוף

כדי להשבית את Cloud Logging עבור Cloud Healthcare API:

  1. נכנסים אל Google Cloud המסוף כסופר-אדמינים ב-Google Workspace או ב-Cloud Identity ועוברים לדף מדיניות הארגון:

    מעבר למדיניות הארגון

  2. לוחצים על Select (בחירה) ואז בוחרים את הפרויקט, התיקייה או הארגון שרוצים לראות את מדיניות הארגון שלהם. בדף Organization policies מוצגת רשימה של מגבלות מדיניות הארגון שזמינות לסינון.

  3. ברשימת כללי המדיניות שמופיעה, בוחרים באפשרות השבתת Cloud Logging עבור Cloud Healthcare API. המדיניות השבתת Cloud Logging ל-Cloud Healthcare API משתמשת במזהה constraints/gcp.disableCloudLogging. בדף פרטי המדיניות שמופיע מתואר האילוץ ומוסבר איך הוא חל.

  4. כדי לעדכן את מדיניות הארגון, לוחצים על ניהול המדיניות.

  5. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

  6. לוחצים על Add a rule.

  7. בקטע אכיפה, בוחרים אפשרות אכיפה:

    • כדי להפעיל את האילוץ ולהשבית את Cloud Logging עבור Cloud Healthcare API, בוחרים באפשרות On (מופעל).
    • כדי להשבית את האילוץ ולהפעיל את Cloud Logging עבור Cloud Healthcare API, בוחרים באפשרות Off (מושבת).

  8. כדי לאכוף את המדיניות, לוחצים על הגדרת מדיניות.

gcloud

  1. כדי לקבל את המדיניות הנוכחית במשאב הארגון, מריצים את הפקודה describe:

    gcloud org-policies describe gcp.disableCloudLogging \
  --organization=ORGANIZATION_ID

    מחליפים את ORGANIZATION_ID: במזהה הייחודי של משאב הארגון. אפשר גם להחיל את מדיניות הארגון על תיקייה או על פרויקט באמצעות הדגלים --folder או --project, ומזהה התיקייה ומזהה הפרויקט, בהתאמה.

    מכיוון שלא מוגדרת מדיניות, הפונקציה מחזירה שגיאת NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

  2. מגדירים את המדיניות בארגון באמצעות הפקודה set-policy.

    1. יוצרים קובץ זמני /tmp/policy.yaml לאחסון המדיניות:

      name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
  rules:
  - enforce: true

    2. מריצים את הפקודה set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

  3. כדי לראות את המדיניות האפקטיבית הנוכחית, משתמשים בפקודה describe --effective:

    gcloud org-policies describe \
  gcp.disableCloudLogging --effective \
  --organization=ORGANIZATION_ID

    אחרי שמריצים את הפקודה, מוצג הפלט הבא:

    name: organizations/ORGANIZATION_ID/policies/gcp.disableCloudLogging
spec:
  rules:
  - enforce: true

המאמרים הבאים

מידע נוסף על יצירת מדיניות ארגונית עם אילוץ מסוים זמין במאמר יצירת מדיניות ארגונית.