默认情况下,Google Cloud Observability 会对静态客户内容进行 加密。Google Cloud Observability 会为您处理加密,您无需执行任何 其他操作。此选项称为“Google 默认加密”。
如果您想要控制加密密钥,则可以将 Cloud KMS 中客户管理的加密密钥 (CMEK) 与集成 CMEK 的服务(包括 Google Cloud Observability)结合使用。使用 Cloud KMS 密钥时,您可以控制其保护 级别、位置、轮替时间表、使用和访问权限以及加密边界。 此外,您还可使用 Cloud KMS 查看审核日志并控制密钥生命周期。这样您就可以在 Cloud KMS 中控制和管理用于保护数据的对称 密钥加密密钥 (KEK),而不是由 Google 拥有和管理这些密钥。
使用 CMEK 设置资源后,访问您的 Google Cloud Observability 资源的体验与使用 Google 默认加密功能类似。 如需详细了解加密 选项,请参阅客户管理的加密密钥 (CMEK)。
Google Cloud Observability 可以使用 CMEK 加密存储在可观测性存储分区中的数据。 这些存储分区存储您的跟踪数据。本文档列出了受支持的组织政策,介绍了可观测性存储分区的默认设置,并介绍了组织政策和默认设置之间的互动方式。
本文档不适用于 Cloud Logging,后者可以使用 CMEK 加密存储在日志存储分区中的数据。如需了解详情,请参阅 为 Cloud Logging 配置 CMEK。
受支持的组织政策限制条件
如需控制可观测性存储分区的创建位置以及管理这些存储分区的加密密钥的人员,您可能需要配置以下组织政策:
一项具有限制条件 ID
constraints/gcp.resourceLocations的政策。 此政策 定义了可创建新资源的一组位置 。如需使用可观测性存储分区,这组 位置必须至少包含一个 受支持的可观测性存储分区位置。一项具有限制条件 ID
constraints/gcp.restrictNonCmekServices的Deny政策。此政策要求使用 CMEK 加密新资源。一项具有限制条件 ID
constraints/gcp.restrictCmekCryptoKeyProjects的政策。 此政策限制了用于加密的 Cloud Key Management Service 密钥。
您可以创建在组织、文件夹或项目级应用的组织政策。如需了解详情,请参阅 创建和修改政策。
关于可观测性存储分区的默认设置
Google Cloud Observability 为可观测性存储分区提供默认设置,这些设置适用于项目、文件夹或组织。这些默认设置与您的组织政策协同工作,确保新的可观测性存储分区位于您偏好的位置,并使用您指定的加密模型。
对于组织、文件夹和项目,可观测性存储分区的默认设置可让您配置以下内容:
- 默认存储位置。
- 对于每个位置,都有一个默认 Cloud Key Management Service 密钥。
为项目配置时,这些设置仅适用于在该项目中创建的新可观测性存储分区。为文件夹或组织配置时,这些设置适用于在文件夹或组织的后代项目中创建的新可观测性存储分区,但您已配置默认设置的项目除外。
如需了解详情,请参阅 为可观测性存储分区设置默认值。组织政策和默认设置之间的互动方式
可观测性存储桶的父级必须是项目。也就是说,系统无法在文件夹或组织中创建可观测性存储桶。但是,如果您为组织或文件夹配置了可观测性存储分区的默认设置,则这些默认设置将应用于该组织或文件夹的所有后代项目。
下表列出了系统用于确定新可观测性存储桶位置的规则:
| 使用组织政策 限制位置 |
项目(或祖先)具有 默认存储位置 |
系统如何确定新可观测性存储桶的位置 |
|---|---|---|
| 否 | 否 | 系统会从可观测性存储分区的受支持位置中选择位置。 |
| 是 | 否 | 系统会从组织政策允许的位置与可观测性存储分区支持的位置的交集中选择位置。 如果交集为空,则系统不会创建 可观测性存储桶。 |
| 否 | 是 | 系统会将位置设置为项目默认设置中定义的默认存储位置。如果项目未定义 默认存储位置,则系统会使用为祖先定义的默认存储 位置。 |
| 是 | 是 | 系统会将位置设置为项目默认设置中定义的默认存储位置。如果项目未定义 默认存储位置,则系统会使用祖先的 默认存储位置。 如果组织政策不允许使用默认存储位置,则系统不会创建可观测性存储桶。 |
下表列出了系统用于确定新可观测性存储桶是否使用 CMEK 的规则,如果使用,则列出 Cloud KMS 密钥的值。如需加密可观测性存储桶,Cloud KMS 密钥必须位于存储桶的位置,并且组织政策允许使用该密钥。如果您未指定具有 gcp.restrictCmekCryptoKeyProjects
限制条件的组织政策,则允许使用所有密钥:
| 使用组织政策 要求使用 CMEK |
项目(或祖先)具有 默认 Cloud KMS 密钥 |
系统如何确定要使用的 Cloud KMS 密钥。 |
|---|---|---|
| 否 | 否 | 可观测性存储桶不使用 CMEK。 |
| 是 | 否 | 系统不会创建新的可观测性存储分区,因为 组织政策要求使用 CMEK,但未定义默认 Cloud KMS 密钥。 |
| 否 | 是 | 如需确定用于加密的密钥,系统首先会确定是否为项目或其某个祖先设置了默认存储位置。如果未设置,系统会选择一个位置并创建 可观测性存储桶。该存储桶不使用 CMEK。 如果找到了默认存储位置,则系统会在项目的默认设置中搜索默认 Cloud KMS 密钥。如果项目的默认设置未指定合适的密钥, 则系统会在祖先的默认设置中 搜索位于新存储桶位置的默认密钥。 系统会执行以下操作之一:
|
| 是 | 是 | 如需确定用于加密的密钥,系统首先会确定是否为项目或其某个祖先设置了默认存储位置。如果未设置默认存储位置,则 系统不会创建新的可观测性存储桶 如果找到了默认存储位置,则系统会在项目的默认设置中搜索默认 Cloud KMS 密钥。如果项目的默认设置未指定合适的密钥, 则系统会在祖先的默认设置中 搜索位于新存储桶位置的默认密钥。 系统会执行以下操作之一:
|
限制
当系统创建可观测性存储桶时,加密模型会设置为 Google 默认加密或客户管理的加密。 存储桶存在后,您无法更改加密模型。
后续步骤
为可观测性存储分区设置默认值介绍了如何 为可观测性存储分区设置默认存储位置和默认 Cloud KMS 密钥。
为 Cloud Logging 配置默认资源设置 和 为 Cloud Logging 配置 CMEK 介绍了如何 为日志存储分区设置默认存储位置和默认 Cloud KMS 密钥。