根據預設,Google Cloud Observability 會加密靜態的客戶內容。Google Cloud Observability 會為您處理加密作業,您不必採取任何其他動作。這項做法稱為「Google 預設加密機制」。
如要控管加密金鑰,您可以在 Cloud KMS 中使用客戶自行管理的加密金鑰 (CMEK),搭配整合 CMEK 的服務 (包括 Google Cloud Observability)。使用 Cloud KMS 金鑰可讓您控管保護等級、位置、輪替時間表、使用權限和存取權,以及加密範圍。使用 Cloud KMS 也能查看稽核記錄,以及控管金鑰生命週期。 您可以在 Cloud KMS 中控制及管理這些金鑰,而不是由 Google 擁有及管理用來保護您資料的對稱金鑰加密金鑰 (KEK)。
使用 CMEK 設定資源後,存取 Google Cloud Observability 資源的體驗與使用 Google 預設加密機制類似。如要進一步瞭解加密選項,請參閱「客戶自行管理的加密金鑰 (CMEK)」。
Google Cloud Observability 可使用 CMEK 加密儲存在可觀測性 bucket 中的資料。 這些 bucket 會儲存追蹤資料。本文列出支援的機構政策,介紹可觀測性儲存區的預設設定,並說明機構政策和預設設定的互動方式。
本文不適用於 Cloud Logging,因為這項服務可使用 CMEK 加密儲存在記錄值區中的資料。詳情請參閱「為 Cloud Logging 設定 CMEK」。
支援的機構政策限制
如要控管觀測能力 bucket 的建立位置,以及管理這些 bucket 加密金鑰的對象,建議您設定下列組織政策:
限制 ID 為
constraints/gcp.resourceLocations的政策。這項政策定義了一組位置,可在其中建立新資源。如要使用可觀測性 bucket,這組位置必須至少包含一個支援的可觀測性 bucket 位置。限制 ID 為
constraints/gcp.restrictNonCmekServices的Deny政策。這項政策要求使用 CMEK 加密新資源。限制 ID 為
constraints/gcp.restrictCmekCryptoKeyProjects的政策。這項政策會限制用於加密的 Cloud Key Management Service 金鑰。
您可以建立組織政策,並在機構、資料夾或專案層級套用。詳情請參閱「建立及編輯政策」。
觀測功能儲存區的預設設定
Google Cloud Observability 提供可套用至專案、資料夾或機構的預設可觀測性值區設定。這些預設設定會與貴機構的政策搭配運作,確保新的可觀測性值區位於您偏好的位置,並使用您指定的加密模型。
對於機構、資料夾和專案,可觀測性 bucket 的預設設定可讓您設定下列項目:
- 預設儲存位置。
- 每個位置的預設 Cloud Key Management Service 金鑰。
為專案設定後,這些設定只會套用至該專案中建立的新可觀測性 bucket。如果為資料夾或機構設定這些選項,這些設定會套用至在資料夾或機構後代專案中建立的新可觀測性儲存空間,但您已設定預設設定的專案除外。
詳情請參閱「設定可觀測性 bucket 的預設值」。組織政策和預設設定的互動方式
可觀測性 bucket 的上層必須是專案。也就是說,系統無法在資料夾或機構中建立可觀測性 bucket。不過,如果您為機構或資料夾設定可觀測性儲存空間的預設設定,這些預設設定會套用至該機構或資料夾的所有子系專案。
下表列出系統用來判斷新可觀測性 bucket 位置的規則:
| 使用機構政策 限制位置 |
專案 (或上層) 具有 預設儲存空間位置 |
系統如何判斷新可觀測性儲存區的位置 |
|---|---|---|
| 否 | 否 | 系統會從支援的位置中,為可觀測性 bucket 選取位置。 |
| 是 | 否 | 系統會從組織政策允許的位置,以及可觀測性儲存區支援的位置,選取兩者交集的位置。 如果交集為空,系統就不會建立可觀測性值區。 |
| 否 | 是 | 系統會將位置設為專案預設設定中定義的預設儲存位置。如果專案未定義預設儲存位置,系統會使用為祖系定義的預設儲存位置。 |
| 是 | 是 | 系統會將位置設為專案預設設定中定義的預設儲存位置。如果專案未定義預設儲存空間位置,系統會使用上層的預設儲存空間位置。 如果預設儲存位置不符合機構政策規定,系統就不會建立可觀測性值區。 |
下表列出系統用來判斷新可觀測性 bucket 是否使用 CMEK 的規則,以及 Cloud KMS 金鑰的值 (如果使用 CMEK)。如要加密可觀測性 bucket,Cloud KMS 金鑰必須位於 bucket 所在位置,且組織政策允許使用。如未指定含有 gcp.restrictCmekCryptoKeyProjects 限制的機構政策,系統會允許所有金鑰:
| 使用組織政策 要求使用 CMEK |
專案 (或上層) 具有 預設 Cloud KMS 金鑰 |
系統如何決定要使用的 Cloud KMS 金鑰。 |
|---|---|---|
| 否 | 否 | 可觀測性 bucket 未使用 CMEK。 |
| 是 | 否 | 系統不會建立新的觀測能力 bucket,因為組織政策要求使用 CMEK,但未定義預設 Cloud KMS 金鑰。 |
| 否 | 是 | 如要找出加密金鑰,系統會先判斷專案或其任一上層是否已設定預設儲存位置。如果沒有,系統會選取位置並建立可觀測性 bucket。值區未使用 CMEK。 如果找到預設儲存位置,系統會搜尋專案的預設設定,找出預設 Cloud KMS 金鑰。如果專案的預設設定未指定適當的金鑰,系統就會在祖先的預設設定中,搜尋新值區位置的預設金鑰。 發生下列其中一種情況:
|
| 是 | 是 | 如要找出加密金鑰,系統會先判斷專案或其任一上層是否已設定預設儲存位置。如果未設定預設儲存位置,系統就不會建立新的可觀測性值區 如果找到預設儲存位置,系統會搜尋專案的預設設定,找出預設 Cloud KMS 金鑰。如果專案的預設設定未指定適當的金鑰,系統就會在祖先的預設設定中,搜尋新值區位置的預設金鑰。 發生下列其中一種情況:
|
限制
系統建立可觀測性 bucket 時,加密模型會設為 Google 預設加密或客戶代管加密。bucket 建立後,您就無法變更加密模式。
後續步驟
「設定可觀測性 bucket 的預設值」一文說明如何為可觀測性 bucket 設定預設儲存位置和預設 Cloud KMS 金鑰。
設定 Cloud Logging 的預設資源設定和設定 Cloud Logging 的 CMEK,說明如何為記錄值區設定預設儲存位置和預設 Cloud KMS 金鑰。