Dokumen ini menjelaskan cara mengonfigurasi organisasi, folder, atau project agar bucket kemampuan pengamatan Anda memenuhi persyaratan kepatuhan atau peraturan.
Untuk organisasi, folder, dan project, setelan default untuk bucket kemampuan pengamatan memungkinkan Anda mengonfigurasi hal berikut:
- Lokasi penyimpanan default.
- Untuk setiap lokasi, kunci Cloud Key Management Service default.
Turunan dalam hierarki resource akan otomatis menggunakan setelan ini, kecuali untuk turunan yang telah Anda konfigurasi setelan defaultnya.
Setelan default untuk bucket kemampuan pengamatan hanya berlaku untuk resource baru, bukan resource yang sudah ada.
Setelan default untuk setelan bucket observabilitas tidak berlaku untuk bucket log, yang menyimpan data log. Untuk mempelajari cara menetapkan lokasi default atau mewajibkan CMEK untuk bucket log, lihat Mengonfigurasi setelan resource default untuk Cloud Logging.
Melihat setelan default untuk bucket kemampuan pengamatan
Bagian ini menjelaskan cara melihat setelan default untuk bucket observabilitas bagi resource, yaitu organisasi, folder, atau project.
Untuk mengambil setelan default bucket kemampuan pengamatan, Anda harus mengeluarkan beberapa perintah. Perintah pertama menampilkan lokasi penyimpanan default. Perintah kedua menampilkan kunci Cloud KMS untuk lokasi tersebut.
Perintah yang dijelaskan di bagian ini adalah untuk resource tertentu. Respons perintah ini dibatasi untuk nilai yang dikonfigurasi pengguna untuk resource tersebut. Perintah ini tidak menampilkan setelan yang mungkin digunakan resource, tetapi dikonfigurasi untuk turunan.
Sebelum memulai
- Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Untuk mendapatkan izin yang diperlukan untuk melihat setelan default bucket kemampuan pengamatan untuk organisasi, folder, atau project, minta administrator untuk memberi Anda peran IAM Observability Viewer (
roles/observability.viewer) di organisasi, folder, atau project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.Peran bawaan ini berisi izin
observability.settings.get, yang diperlukan untuk melihat setelan default untuk bucket kemampuan pengamatan bagi organisasi, folder, atau project.Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
-
Pilih tab untuk melihat bagaimana Anda berencana menggunakan contoh di halaman ini:
gcloud
Di konsol Google Cloud , aktifkan Cloud Shell.
Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.
Terraform
Untuk menggunakan contoh Terraform di halaman ini dalam lingkungan pengembangan lokal, instal dan lakukan inisialisasi gcloud CLI, lalu siapkan Kredensial Default Aplikasi dengan kredensial pengguna Anda.
-
Instal Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Jika Anda menggunakan shell lokal, buat kredensial autentikasi lokal untuk akun pengguna Anda:
gcloud auth application-default login
Anda tidak perlu melakukan langkah ini jika menggunakan Cloud Shell.
Jika error autentikasi ditampilkan, dan Anda menggunakan penyedia identitas (IdP) eksternal, konfirmasi bahwa Anda telah login ke gcloud CLI dengan identitas gabungan Anda.
Untuk mengetahui informasi selengkapnya, lihat Menyiapkan ADC untuk lingkungan pengembangan lokal dalam dokumentasi autentikasi Google Cloud .
REST
Untuk menggunakan contoh REST API di halaman ini dalam lingkungan pengembangan lokal, gunakan kredensial yang Anda berikan ke gcloud CLI.
Instal Google Cloud CLI.
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
Untuk mengetahui informasi selengkapnya, lihat Melakukan autentikasi untuk menggunakan REST dalam dokumentasi autentikasi Google Cloud .
-
Mendapatkan lokasi penyimpanan default untuk resource
Untuk mendapatkan lokasi penyimpanan default resource, Anda mengirim perintah ke endpoint khusus resource, dan menetapkan lokasi perintah tersebut ke global. Data respons mencakup lokasi penyimpanan default dan nama akun layanan. Jika Anda memerlukan CMEK untuk resource, akun layanan ini akan digunakan untuk mengambil kunci Cloud KMS.
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
Gunakan salah satu opsi berikut untuk meneruskan ID project, folder, atau organisasi yang ingin Anda kueri ke perintah:--project=PROJECT_ID, dengan PROJECT_ID berisi ID project Anda.--folder=FOLDER_ID, dengan FOLDER_ID berisi ID folder Anda.--organization=ORGANIZATION_ID, dengan ORGANIZATION_ID berisi ID organisasi Anda.
Jalankan perintah
gcloud beta observability settings describe:
Linux, macOS, atau Cloud Shell
gcloud beta observability settings describe \ --location=global --project=PROJECT_ID
Windows (PowerShell)
gcloud beta observability settings describe ` --location=global --project=PROJECT_ID
Windows (cmd.exe)
gcloud beta observability settings describe ^ --location=global --project=PROJECT_ID
Berikut ini mengilustrasikan respons perintah:
Parsed [location] resource: projects/my-project/locations/global defaultStorageLocation: eu name: projects/my-project/locations/global/settings serviceAccountId: service-12345@gcp-sa-observability.iam.gserviceaccount.com
Terraform
Anda dapat menggunakan Terraform untuk menetapkan lokasi penyimpanan default untuk resource, yaitu project, folder, atau organisasi. Anda tidak dapat menggunakan Terraform untuk melaporkan lokasi penyimpanan default untuk resource.
REST
Untuk resource yang setelan defaultnya ingin Anda tampilkan, pilih endpoint yang sesuai, lalu di APIs Explorer, tentukan parameter jalur:
Organisasi:
- Endpoint API:
organizations.locations.getSettings Parameter jalur:
organizations/ORGANIZATION_ID/locations/global/settings
Folder:
- Endpoint API:
folders.locations.getSettings Parameter jalur:
folders/FOLDER_ID/locations/global/settings
Project:
Endpoint API:
projects.locations.getSettingsParameter jalur:
projects/PROJECT_ID/locations/global/settings
Variabel dalam ekspresi sebelumnya memiliki arti sebagai berikut:
- ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
- FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
- PROJECT_ID: ID project.
- Endpoint API:
Klik Jalankan.
Jika berhasil, responsnya adalah objek
Settings. Jika kolomdefault_storage_locationkosong, lokasi penyimpanan default tidak ditetapkan.Misalnya, jika Anda mengeluarkan perintah
getSettingsdan menetapkan parameter jalur ke organisasi, responsnya akan mirip dengan salah satu berikut ini:Lokasi penyimpanan default ditetapkan ke
"us":default_storage_location: "us" service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.comTidak ada lokasi penyimpanan default yang ditetapkan:
service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
Mendapatkan kunci Cloud KMS default untuk resource dan lokasi
Kunci Cloud KMS adalah resource regional. Kunci ini hanya dapat digunakan untuk mengenkripsi atau mendekripsi data yang disimpan di lokasi yang sama dengan kunci. Untuk setiap lokasi yang didukung oleh bucket pengamatan, dan untuk setiap organisasi, folder, atau project, Anda dapat mengonfigurasi setelan default untuk bucket pengamatan dengan kunci Cloud KMS.
Bagian ini menjelaskan cara mendapatkan kunci Cloud KMS default untuk resource dan lokasi.
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- LOCATION: Lokasi kunci Cloud KMS untuk resource Anda. Resource adalah
project, folder, atau organisasi. Jika Anda menetapkan lokasi ke
global, maka perintah akan menampilkan lokasi penyimpanan default untuk resource. - Gunakan salah satu opsi berikut untuk meneruskan ID project, folder, atau
organisasi yang ingin Anda kueri ke perintah:
--project=PROJECT_ID, dengan PROJECT_ID berisi ID project Anda.--folder=FOLDER_ID, dengan FOLDER_ID berisi ID folder Anda.--organization=ORGANIZATION_ID, dengan ORGANIZATION_ID berisi ID organisasi Anda.
Jalankan perintah
gcloud beta observability settings describe:
Linux, macOS, atau Cloud Shell
gcloud beta observability settings describe \ --location=LOCATION --project=PROJECT_ID
Windows (PowerShell)
gcloud beta observability settings describe ` --location=LOCATION --project=PROJECT_ID
Windows (cmd.exe)
gcloud beta observability settings describe ^ --location=LOCATION --project=PROJECT_ID
Berikut ini mengilustrasikan respons perintah:
Parsed [location] resource: projects/my-project/locations/us kmsKeyName: projects/my-project/locations/us/keyRings/test/cryptoKeys/test-key name: projects/my-project/locations/us/settings serviceAccountId: service-12345@gcp-sa-observability.iam.gserviceaccount.com
Terraform
Anda dapat menggunakan Terraform untuk menetapkan kunci Cloud Key Management Service default untuk lokasi dan resource, yaitu project, folder, atau organisasi. Anda tidak dapat menggunakan Terraform untuk melaporkan lokasi penyimpanan default untuk resource.
REST
Untuk resource yang setelan defaultnya ingin Anda tampilkan, pilih endpoint yang sesuai, lalu di APIs Explorer, tentukan parameter jalur:
Organisasi:
Endpoint API:
organizations.locations.getSettingsParameter jalur:
organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings
Folder:
- Endpoint API:
folders.locations.getSettings Parameter jalur:
folders/FOLDER_ID/locations/LOCATION_ID/settings
Project:
- Endpoint API:
projects.locations.getSettings Parameter jalur:
projects/PROJECT_ID/locations/LOCATION_ID/settings
Variabel dalam ekspresi sebelumnya memiliki arti sebagai berikut:
- ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
- FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
- PROJECT_ID: ID project.
- LOCATION_ID: Lokasi yang konfigurasi CMEK-nya ingin Anda lihat.
Klik Jalankan.
Jika berhasil, responsnya adalah objek
Settings.Misalnya, anggap saja Anda mengeluarkan perintah
getSettingsdan menetapkan parameter jalur keorganizations/ORGANIZATION_ID/locations/LOCATION_ID/settings, maka responsnya mirip dengan salah satu dari berikut ini:Jika kunci Cloud KMS tidak ditetapkan untuk organisasi dan lokasi, respons hanya mencantumkan akun layanan:
service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.comJika kunci Cloud KMS ditetapkan untuk organisasi dan lokasi, respons akan mencakup akun layanan dan nama kunci Cloud KMS:
name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings" service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com kms_key_name: "projects/my-kms-project/locations/LOCATION_ID/keyRings/my-key-ring/cryptoKeys/my-key"
Menetapkan setelan default untuk bucket observabilitas
Bagian ini menjelaskan cara mengonfigurasi setelan default untuk bucket kemampuan pengamatan resource, yaitu organisasi, folder, atau project.
Jika Anda berencana mewajibkan CMEK untuk resource dan lokasi, konfigurasikan setelan default untuk bucket pengamatan bagi pasangan tersebut sebelum Anda menetapkan lokasi penyimpanan default. Saat mengonfigurasi setelan default untuk resource dan lokasi, Anda menentukan kunci Cloud KMS yang akan digunakan.
Petunjuk ini ditujukan untuk API Explorer, yang memungkinkan Anda mengeluarkan perintah API dari halaman dokumentasi. Namun, Anda juga dapat mengeluarkan perintah
curl.
Contoh konfigurasi
Bagian ini mencantumkan kasus penggunaan umum.
Mewajibkan bucket baru berada di lokasi tertentu
Untuk mewajibkan bucket pengamatan yang dibuat sistem baru di organisasi Anda berada di lokasi us, tetapkan lokasi penyimpanan default untuk organisasi Anda ke us.
Untuk mengganti setelan tingkat organisasi dan mewajibkan bucket observabilitas yang baru dibuat sistem di folder turunan bernama my-eu-projects berada di region eu, tetapkan lokasi penyimpanan default untuk folder my-eu-projects ke eu.
Mewajibkan bucket baru berada di lokasi tertentu dan menggunakan CMEK
Untuk mewajibkan semua bucket pengamatan yang dibuat sistem baru di organisasi Anda berada di lokasi us dan menggunakan CMEK, lakukan hal berikut:
Konfigurasi setelan default untuk bucket kemampuan pengamatan bagi organisasi Anda dan lokasi
usuntuk menentukan kunci Cloud KMS.Tetapkan lokasi penyimpanan default untuk organisasi Anda menjadi
us.
Sebelum memulai
Jika hanya berencana menetapkan lokasi penyimpanan default, Anda tidak memerlukan peran Cloud KMS.
Selesaikan penyiapan yang diperlukan untuk melihat setelan default bucket kemampuan pengamatan.
-
Untuk mendapatkan izin yang diperlukan untuk menetapkan setelan default bucket observabilitas untuk organisasi, folder, atau project, minta administrator untuk memberi Anda peran IAM berikut pada organisasi, folder, atau project:
-
Editor Kemampuan Observasi (
roles/observability.editor) -
Cloud KMS Admin (
roles/cloudkms.admin)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk menetapkan setelan default bucket kemampuan pengamatan untuk organisasi, folder, atau project. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menetapkan setelan default bucket kemampuan observasi untuk organisasi, folder, atau project:
-
observability.settings.get -
observability.settings.update -
cloudkms.cryptoKeys.getIamPolicy -
cloudkms.cryptoKeys.setIamPolicy
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
-
Editor Kemampuan Observasi (
Jika Anda berencana mewajibkan penggunaan CMEK, pastikan Anda memiliki kunci Cloud KMS di lokasi yang diperlukan. Jika perlu, buat key ring Cloud KMS dan kunci Cloud KMS.
Tentukan resource yang setelan default bucket observabilitasnya ingin Anda perbarui. Resource ini dapat berupa organisasi, folder, atau project.
Jika Anda mengonfigurasi setelan default untuk organisasi atau folder, setelan tersebut akan berlaku untuk semua turunan organisasi atau folder tersebut. Jika Anda mengonfigurasi setelan default untuk bucket observabilitas suatu project, setelan tersebut hanya berlaku untuk project tersebut.
Memberi akun layanan resource akses ke kunci
Untuk resource yang setelan defaultnya ingin Anda konfigurasi, berikan peran ke akun layanannya:
Identifikasi kunci Cloud KMS yang ingin Anda gunakan untuk enkripsi dan dekripsi.
Kunci Cloud KMS bersifat regional. Misalnya, jika Anda berencana mewajibkan bucket observabilitas baru yang dibuat sistem berada di lokasi
us, maka Anda memerlukan kunci Cloud KMS di lokasius.Identifikasi akun layanan untuk resource Anda.
Misalnya, jika Anda ingin semua bucket pengamatan yang dibuat sistem baru di organisasi Anda berada di lokasi
usdan menggunakan CMEK, panggilgetSettingske lokasiglobaldan tetapkan parameter jalur ke organisasi. Data respons mencantumkan akun layanan organisasi:service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.comBeri akun layanan yang Anda identifikasi pada langkah sebelumnya peran Cloud KMS CryptoKey Encrypter/Decrypter (
roles.cloudkms.cryptoKeyEncrypterDecrypteruntuk kunci Cloud KMS yang ingin Anda gunakan untuk mengenkripsi dan mendekripsi data.Pengikatan peran ini ditujukan untuk kunci Cloud KMS tertentu.
gcloud CLI
Jalankan perintah
gcloud kms keys add-iam-policy-binding:gcloud kms keys add-iam-policy-binding KMS_KEY_NAME \ --project=KMS_PROJECT_ID \ --member=serviceAccount:SERVICE_ACCT_NAME@gcp-sa-observability.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \ --location=LOCATION_ID \ --keyring=KMS_KEY_RINGSebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:
- KMS_KEY_NAME: Nama kunci.
- KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud Anda dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
- SERVICE_ACCT_NAME: Nama akun layanan resource Anda, yang Anda identifikasi pada langkah sebelumnya.
- LOCATION_ID: Lokasi kunci Cloud KMS Anda.
- KMS_KEY_RING: Nama key ring Cloud KMS.
Konsol Google Cloud
- Di konsol Google Cloud , buka halaman Key management.
- Pilih nama key ring yang berisi kunci.
Centang kotak untuk kunci.
Tab Izin akan tersedia.
Dalam dialog Add members, tentukan alamat email akun layanan Google Cloud Observability yang Anda berikan akses.
Di menu Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypter.
Klik Tambahkan.
Menetapkan kunci Cloud KMS default untuk resource dan lokasi
Pada langkah sebelumnya, Anda memberikan izin kepada akun layanan resource untuk mengenkripsi dan mendekripsi data untuk kunci Cloud KMS tertentu.
Misalnya, Anda mungkin telah memberikan peran IAM ke akun layanan organisasi yang memungkinkannya mengakses kunci Cloud KMS yang berada di lokasi us.
Pada langkah ini, untuk resource tersebut dan untuk lokasi kunci Cloud KMS, Anda akan memperbarui setelan default untuk bucket kemampuan pengamatan dengan informasi kunci.
Misalnya, pada langkah ini, Anda dapat mengonfigurasi setelan default untuk bucket kemampuan pengamatan bagi organisasi Anda dan untuk lokasi us, ke kunci Cloud KMS yang juga berada di lokasi us.
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- KMS_KEY_NAME: Nama kunci Cloud KMS.
- LOCATION: Lokasi kunci Cloud KMS untuk resource Anda. Resource adalah
project, folder, atau organisasi. Jika Anda menetapkan lokasi ke
global, maka perintah akan menampilkan lokasi penyimpanan default untuk resource. - Gunakan salah satu opsi berikut untuk meneruskan ID project, folder, atau
organisasi yang ingin Anda kueri ke perintah:
--project=PROJECT_ID, dengan PROJECT_ID berisi ID project Anda.--folder=FOLDER_ID, dengan FOLDER_ID berisi ID folder Anda.--organization=ORGANIZATION_ID, dengan ORGANIZATION_ID berisi ID organisasi Anda.
Jalankan perintah
gcloud beta observability settings update:
Linux, macOS, atau Cloud Shell
gcloud beta observability settings update \ --kms-key-name=KMS_KEY_NAME \ --update-mask=kms-key-name \ --location=LOCATION --project=PROJECT_ID
Windows (PowerShell)
gcloud beta observability settings update ` --kms-key-name=KMS_KEY_NAME ` --update-mask=kms-key-name ` --location=LOCATION --project=PROJECT_ID
Windows (cmd.exe)
gcloud beta observability settings update ^ --kms-key-name=KMS_KEY_NAME ^ --update-mask=kms-key-name ^ --location=LOCATION --project=PROJECT_ID
Perintah update memulai operasi yang berjalan lama. Berikut ini mengilustrasikan respons perintah:
Parsed [location] resource: projects/my-project/locations/us Request issued for: [us] Waiting for operation [projects/my-project/locations/us/operations/operation-1775247021184-64e93e8161585-1a55612f-73382a5a] to complete...done. Updated location [us]. '@type': type.googleapis.com/google.cloud.observability.v1.Settings kmsKeyName: projects/my-project/locations/us/keyRings/test/cryptoKeys/test-key name: projects/my-project/locations/us/settings serviceAccountId: service-12345@gcp-sa-observability.iam.gserviceaccount.com
Terraform
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi penyedia Terraform.
Untuk menetapkan kunci Cloud Key Management Service default untuk lokasi dan resource, lakukan hal berikut:
Pilih resource Terraform yang sesuai berdasarkan resource Google Cloud yang ingin Anda konfigurasi:
Organisasi:
- Gunakan resource Terraform
google_observability_organization_settings. - Tetapkan kolom
organizationke ID organisasi.
Folder:
- Gunakan resource Terraform
google_observability_folder_settings. - Tetapkan kolom
folderke ID folder.
Project:
- Gunakan resource Terraform
google_observability_project_settings. - Tetapkan kolom
projectke ID project.
- Gunakan resource Terraform
Tetapkan kolom berikut:
- Tetapkan kolom
locationke lokasi untuk kunci Cloud KMS default. - Tetapkan kolom
kms_key_nameke kunci Cloud KMS.
- Tetapkan kolom
Setelah memperbarui file
main.tf, upgrade penginstalan Terraform Anda:terraform -init upgradeUpgrade ini diperlukan karena resource Terraform yang diperlukan berstatus beta.
REST
Untuk resource yang setelan defaultnya ingin Anda tetapkan, pilih endpoint yang sesuai, lalu di APIs Explorer, tentukan parameter jalur:
Organisasi:
- Endpoint API:
organizations.locations.updateSettings Parameter jalur:
organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings
Folder:
- Endpoint API:
folders.locations.updateSettings Parameter jalur:
folders/FOLDER_ID/locations/LOCATION_ID/settings
Project:
- Endpoint API:
projects.locations.updateSettings Parameter jalur:
projects/PROJECT_ID/locations/LOCATION_ID/settings
Variabel dalam ekspresi sebelumnya memiliki arti sebagai berikut:
- ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
- FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
- PROJECT_ID: ID project.
- LOCATION_ID: Lokasi kunci Cloud KMS Anda.
- Endpoint API:
Tetapkan kolom updateMask sebagai berikut:
updateMask=kmsKeyNameKonfigurasi Isi permintaan sebagai berikut:
{ "kmsKeyName"="projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME" }Sebelum memasukkan nilai, lakukan penggantian berikut:
- KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
- LOCATION_ID: Lokasi kunci Cloud KMS Anda.
- KMS_KEY_RING: Nama key ring Cloud KMS.
- KMS_KEY_NAME: Nama kunci.
Nilai
"kmsKeyName"adalah nama kunci Anda yang sepenuhnya memenuhi syarat.Klik Jalankan.
Jika berhasil, responsnya adalah objek
Settings.Misalnya, Anda mengeluarkan perintah
updateSettingsuntuk menetapkan kunci Cloud KMS dan menetapkan parameter jalur keorganizations/ORGANIZATION_ID/locations/LOCATION_ID/settings, maka responsnya akan mirip dengan berikut ini:name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings" service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com kms_key_name: "projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
Menetapkan lokasi penyimpanan default untuk resource
Langkah ini menjelaskan cara menetapkan lokasi penyimpanan default untuk resource, yaitu organisasi, folder, atau project. Semua turunan dalam hierarki resource otomatis menggunakan lokasi penyimpanan default, kecuali turunan yang telah Anda konfigurasi lokasi penyimpanan defaultnya.
Misalnya, jika Anda menetapkan lokasi penyimpanan default untuk organisasi ke lokasi
us, maka bucket pengamatan yang dibuat sistem baru di organisasi tersebut
berada di lokasi us. Jika Anda ingin folder atau project memiliki
lokasi penyimpanan default yang berbeda, konfigurasi setelan default untuk bucket pengamatan untuk
folder atau project.
Jika Anda ingin bucket pengamatan yang dibuat sistem di resource menggunakan CMEK, selesaikan langkah-langkah berikut sebelum Anda menetapkan lokasi penyimpanan default untuk resource:
- Berikan peran IAM kepada akun layanan resource yang memungkinkan akun layanan mengenkripsi dan mendekripsi data. Peran ini ditujukan untuk kunci Cloud KMS tertentu, dan kunci tersebut berada di lokasi tertentu.
- Konfigurasi setelan default untuk bucket kemampuan pengamatan untuk lokasi resource dan kunci dengan informasi kunci Cloud KMS.
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- DEFAULT_STORAGE_LOCATION: Lokasi penyimpanan default untuk project, folder, atau organisasi Anda. Lokasi ini berlaku untuk bucket kemampuan pengamatan baru. Anda harus memasukkan lokasi bucket pengamatan yang didukung.
- Gunakan salah satu opsi berikut untuk meneruskan ID project, folder, atau
organisasi yang ingin Anda kueri ke perintah:
--project=PROJECT_ID, dengan PROJECT_ID berisi ID project Anda.--folder=FOLDER_ID, dengan FOLDER_ID berisi ID folder Anda.--organization=ORGANIZATION_ID, dengan ORGANIZATION_ID berisi ID organisasi Anda.
Jalankan perintah
gcloud beta observability settings update:
Linux, macOS, atau Cloud Shell
gcloud beta observability settings update \ --default-storage-location=DEFAULT_STORAGE_LOCATION \ --update-mask=default-storage-location \ --location=global --project=PROJECT_ID
Windows (PowerShell)
gcloud beta observability settings update ` --default-storage-location=DEFAULT_STORAGE_LOCATION ` --update-mask=default-storage-location ` --location=global --project=PROJECT_ID
Windows (cmd.exe)
gcloud beta observability settings update ^ --default-storage-location=DEFAULT_STORAGE_LOCATION ^ --update-mask=default-storage-location ^ --location=global --project=PROJECT_ID
Perintah update memulai operasi yang berjalan lama. Berikut ini mengilustrasikan respons perintah:
Parsed [location] resource: projects/my-project/locations/global Request issued for: [global] Waiting for operation [projects/my-project/locations/global/operations/operation-1775247065869-64e93eabfee29-f7d39a96-5e23c6c7] to complete...done. Updated location [global]. '@type': type.googleapis.com/google.cloud.observability.v1.Settings defaultStorageLocation: us name: projects/my-project/locations/global/settings serviceAccountId: service-12345@gcp-sa-observability.iam.gserviceaccount.com
Terraform
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi penyedia Terraform.
Untuk menyetel lokasi default, lakukan hal berikut:
Pilih resource Terraform yang sesuai berdasarkan resource Google Cloud yang ingin Anda konfigurasi:
Organisasi:
- Gunakan resource Terraform
google_observability_organization_settings. - Tetapkan kolom
organizationke ID organisasi.
Folder:
- Gunakan resource Terraform
google_observability_folder_settings. - Tetapkan kolom
folderke ID folder.
Project:
- Gunakan resource Terraform
google_observability_project_settings. - Tetapkan kolom
projectke ID project.
- Gunakan resource Terraform
Tetapkan kolom berikut:
- Tetapkan kolom
locationkeglobal. - Tetapkan kolom
default_storage_locationke lokasi yang didukung.
- Tetapkan kolom
Setelah memperbarui file
main.tf, upgrade penginstalan Terraform Anda:terraform -init upgradeUpgrade diperlukan karena Terraform yang diperlukan adalah beta.
REST
Untuk menetapkan lokasi penyimpanan default untuk organisasi, folder, atau project Anda, lakukan hal berikut:
Untuk resource yang setelan defaultnya ingin Anda tetapkan, pilih endpoint yang sesuai, lalu di APIs Explorer, tentukan parameter jalur:
Organisasi:
- Endpoint API:
organizations.locations.updateSettings Parameter jalur:
organizations/ORGANIZATION_ID/locations/global/settings
Folder:
- Endpoint API:
folders.locations.updateSettings Parameter jalur:
folders/FOLDER_ID/locations/global/settings
Project:
- Endpoint API:
projects.locations.updateSettings Parameter jalur:
projects/PROJECT_ID/locations/global/settings
Variabel dalam ekspresi sebelumnya memiliki arti sebagai berikut:
- ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
- FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
- PROJECT_ID: ID project.
- Endpoint API:
Tetapkan kolom updateMask sebagai berikut:
updateMask=defaultStorageLocationKonfigurasi Isi permintaan sebagai berikut:
{ "defaultStorageLocation"="DEFAULT_STORAGE_LOCATION" }Ganti DEFAULT_STORAGE_LOCATION dengan lokasi bucket pengamatan yang didukung.
Misalnya, Anda ingin semua bucket observabilitas yang dibuat sistem baru di organisasi Anda berada di lokasi
usdan menggunakan CMEK. Pada langkah-langkah sebelumnya, Anda memberikan peran IAM kepada akun layanan organisasi yang memungkinkannya mengenkripsi dan mendekripsi data menggunakan kunci Cloud KMS yang berada di lokasius. Anda menyelesaikan konfigurasi dengan menyetel DEFAULT_STORAGE_LOCATION keus.Klik Jalankan.
Jika berhasil, responsnya adalah objek
Settings.Misalnya, jika Anda mengeluarkan perintah
updateSettingsam dan menetapkan parameter jalur ke organisasi serta menetapkan lokasi penyimpanan default keus, maka responsnya akan mirip dengan berikut ini:default_storage_location: "us" service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
Memperbarui lokasi penyimpanan default untuk resource
Untuk mengupdate lokasi penyimpanan default organisasi, folder, atau project, ikuti prosedur yang sama seperti saat Anda menetapkan lokasi penyimpanan default.
Mengelola kunci Cloud KMS Anda
Bagian berikut menjelaskan cara mengubah, menonaktifkan, atau mencabut akses ke kunci Cloud KMS.
Memperbarui kunci Cloud KMS default untuk resource dan lokasi
Untuk memperbarui kunci Cloud KMS untuk resource dan lokasi tertentu, ikuti prosedur yang sama seperti saat Anda menetapkan kunci Cloud KMS.
Membatalkan setelan kunci Cloud KMS default untuk resource dan lokasi
Untuk membatalkan setelan atau menghapus kunci Cloud KMS untuk resource dan lokasi tertentu, ikuti prosedur yang sama seperti yang dijelaskan dalam Menetapkan kunci Cloud KMS default untuk lokasi. Namun, saat mengonfigurasi isi permintaan, tetapkan nilai kunci ke string kosong.
{
"kmsKeyName"=""
}
Jika resource tidak memiliki kunci Cloud KMS default, sistem akan menelusuri kunci Cloud KMS default di ancestor resource:
Jika kunci Cloud KMS ditemukan, kunci tersebut akan digunakan untuk mengenkripsi data yang disimpan di bucket observabilitas baru.
Jika kunci Cloud KMS tidak ditemukan, bucket observabilitas baru tidak menggunakan CMEK.
Mencabut akses utama untuk resource dan lokasi
Saat mengonfigurasi setelan default untuk bucket kemampuan pengamatan untuk resource dan lokasi dengan kunci Cloud KMS, Anda harus memberikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS (roles.cloudkms.cryptoKeyEncrypterDecrypter) untuk kunci tersebut kepada akun layanan resource.
Jika Anda tidak ingin resource memiliki akses ke kunci, hapus
binding IAM untuk kunci tersebut. Anda dapat menghapus pengikatan ini dengan
menjalankan
perintah
gcloud kms keys remove-iam-policy-binding.
Mungkin perlu waktu beberapa jam agar perubahan peran diterapkan sepenuhnya.
Perilaku rotasi kunci
Google Cloud Observability tidak otomatis merotasi kunci enkripsi untuk file pemulihan bencana sementara saat kunci Cloud KMS yang terkait dengan organisasi atau folder dirotasi. Google Cloud File pemulihan yang ada akan terus menggunakan versi kunci yang digunakan untuk membuat file tersebut. File pemulihan baru menggunakan versi kunci utama saat ini.
Untuk mempelajari lebih lanjut, lihat Rotasi kunci.
Batasan
Berikut adalah batasan umum saat Anda mengonfigurasi setelan default untuk bucket kemampuan pengamatan agar memiliki setelan CMEK.
Penurunan kualitas karena kunci tidak tersedia
Google Cloud Observability menggunakan Cloud KMS API untuk mengakses kunci Cloud KMS dan kunci Cloud EKM. Kedua jenis kunci mungkin tidak tersedia.
Jika kunci tidak tersedia, hal berikut akan terjadi:
- Anda tidak dapat membuat kueri data yang disimpan.
- Google Cloud Observability melakukan buffering data selama tiga jam terakhir. Data yang lebih lama dari periode tiga jam ini mungkin dihapus.
- Untuk penyimpanan data permanen, kunci Cloud KMS harus tersedia dan dapat diakses setidaknya selama 24 jam berturut-turut dalam periode 48 jam setelah data ditulis. Jika kunci Cloud KMS tidak tersedia dan dapat diakses selama periode ini, data mungkin tidak sepenuhnya dipertahankan ke penyimpanan dan mungkin dibuang.