Menetapkan default untuk bucket kemampuan observasi

Dokumen ini menjelaskan cara mengonfigurasi organisasi, folder, atau project agar bucket kemampuan pengamatan Anda memenuhi persyaratan kepatuhan atau peraturan.

• Untuk organisasi, folder, dan project, setelan default untuk bucket kemampuan pengamatan memungkinkan Anda mengonfigurasi hal berikut:

  • Lokasi penyimpanan default.
  • Untuk setiap lokasi, kunci Cloud Key Management Service default.

  Turunan dalam hierarki resource akan otomatis menggunakan setelan ini, kecuali untuk turunan yang telah Anda konfigurasi setelan defaultnya.

  Setelan default untuk bucket kemampuan pengamatan hanya berlaku untuk resource baru, bukan resource yang sudah ada.

Setelan default untuk setelan bucket observabilitas tidak berlaku untuk bucket log, yang menyimpan data log. Untuk mempelajari cara menetapkan lokasi default atau mewajibkan CMEK untuk bucket log, lihat Mengonfigurasi setelan resource default untuk Cloud Logging.

Melihat setelan default untuk bucket kemampuan pengamatan

Bagian ini menjelaskan cara melihat setelan default untuk bucket observabilitas bagi resource, yaitu organisasi, folder, atau project.

Untuk mengambil setelan default bucket kemampuan pengamatan, Anda harus mengeluarkan beberapa perintah API. Perintah pertama menampilkan lokasi penyimpanan default. Perintah kedua menampilkan kunci Cloud KMS untuk lokasi tersebut. Petunjuk ini ditujukan untuk APIs Explorer, yang memungkinkan Anda mengeluarkan perintah API dari halaman dokumentasi. Namun, Anda juga dapat mengeluarkan perintah curl.

Perintah yang dijelaskan di bagian ini adalah untuk resource tertentu. Respons perintah ini dibatasi untuk nilai yang dikonfigurasi pengguna untuk resource tersebut. Perintah ini tidak menampilkan setelan yang mungkin digunakan resource, tetapi dikonfigurasi untuk turunan.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk melihat setelan default bucket kemampuan observasi untuk organisasi, folder, atau project, minta administrator untuk memberi Anda peran IAM Observability Viewer (roles/observability.viewer) di organisasi, folder, atau project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin observability.settings.get, yang diperlukan untuk melihat setelan default untuk bucket kemampuan pengamatan bagi organisasi, folder, atau project.

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mendapatkan lokasi penyimpanan default untuk resource

Untuk mendapatkan lokasi penyimpanan default resource, Anda mengirim perintah ke endpoint khusus resource, dan menetapkan lokasi perintah tersebut ke global. Data respons mencakup lokasi penyimpanan default dan nama akun layanan. Jika Anda memerlukan CMEK untuk resource, akun layanan ini akan digunakan untuk mengambil kunci Cloud KMS.

Mendapatkan kunci Cloud KMS default untuk resource dan lokasi

Kunci Cloud KMS adalah resource regional. Kunci ini hanya dapat digunakan untuk mengenkripsi atau mendekripsi data yang disimpan di lokasi yang sama dengan kunci. Untuk setiap lokasi yang didukung oleh bucket pengamatan, dan untuk setiap organisasi, folder, atau project, Anda dapat mengonfigurasi setelan default untuk bucket pengamatan dengan kunci Cloud KMS.

Bagian ini menjelaskan cara mendapatkan kunci Cloud KMS default untuk resource dan lokasi.

Menetapkan setelan default untuk bucket observabilitas

Bagian ini menjelaskan cara mengonfigurasi setelan default untuk bucket kemampuan pengamatan resource, yaitu organisasi, folder, atau project.

Jika Anda berencana mewajibkan CMEK untuk resource dan lokasi, konfigurasikan setelan default untuk bucket pengamatan bagi pasangan tersebut sebelum Anda menetapkan lokasi penyimpanan default. Saat mengonfigurasi setelan default untuk resource dan lokasi, Anda menentukan kunci Cloud KMS yang akan digunakan.

Petunjuk ini ditujukan untuk API Explorer, yang memungkinkan Anda mengeluarkan perintah API dari halaman dokumentasi. Namun, Anda juga dapat mengeluarkan perintah curl.

Contoh konfigurasi

Bagian ini mencantumkan kasus penggunaan umum.

Mewajibkan bucket baru berada di lokasi tertentu

Untuk mewajibkan bucket pengamatan yang dibuat sistem baru di organisasi Anda berada di lokasi us, tetapkan lokasi penyimpanan default untuk organisasi Anda ke us.

Untuk mengganti setelan tingkat organisasi dan mewajibkan bucket observabilitas yang baru dibuat sistem di folder turunan bernama my-eu-projects berada di region eu, tetapkan lokasi penyimpanan default untuk folder my-eu-projects ke eu.

Mewajibkan bucket baru berada di lokasi tertentu dan menggunakan CMEK

Untuk mewajibkan semua bucket pengamatan yang dibuat sistem baru di organisasi Anda berada di lokasi us dan menggunakan CMEK, lakukan hal berikut:

1. Konfigurasi setelan default untuk bucket kemampuan pengamatan bagi organisasi Anda dan lokasi us untuk menentukan kunci Cloud KMS.

2. Tetapkan lokasi penyimpanan default untuk organisasi Anda menjadi us.

Sebelum memulai

Jika hanya berencana menetapkan lokasi penyimpanan default, Anda dapat melewati penyiapan Google Cloud CLI dan tidak memerlukan peran Cloud KMS.

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Untuk mendapatkan izin yang diperlukan untuk menetapkan setelan default bucket observabilitas untuk organisasi, folder, atau project, minta administrator untuk memberi Anda peran IAM berikut di organisasi, folder, atau project:

   • Editor Kemampuan Observasi (roles/observability.editor)
   • Cloud KMS Admin (roles/cloudkms.admin)

   Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

   Peran bawaan ini berisi izin yang diperlukan untuk menetapkan setelan default bucket kemampuan pengamatan untuk organisasi, folder, atau project. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

   Izin yang diperlukan

   Izin berikut diperlukan untuk menetapkan setelan default bucket kemampuan observasi untuk organisasi, folder, atau project:

   • observability.settings.get
   • observability.settings.update
   • cloudkms.cryptoKeys.getIamPolicy
   • cloudkms.cryptoKeys.setIamPolicy

   Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

3. Jika Anda berencana mewajibkan penggunaan CMEK, pastikan Anda memiliki kunci Cloud KMS di lokasi yang diperlukan. Jika perlu, buat key ring Cloud KMS dan kunci Cloud KMS.

4. Tentukan resource yang setelan default bucket observabilitasnya ingin Anda perbarui. Resource ini dapat berupa organisasi, folder, atau project.

   Jika Anda mengonfigurasi setelan default untuk organisasi atau folder, setelan tersebut akan berlaku untuk semua turunan organisasi atau folder tersebut. Jika Anda mengonfigurasi setelan default untuk bucket observabilitas suatu project, setelan tersebut hanya berlaku untuk project tersebut.

Memberi akun layanan resource akses ke kunci

Untuk resource yang setelan defaultnya ingin Anda konfigurasi, berikan peran ke akun layanannya:

1. Identifikasi kunci Cloud KMS yang ingin Anda gunakan untuk enkripsi dan dekripsi.

   Kunci Cloud KMS bersifat regional. Misalnya, jika Anda berencana mewajibkan bucket observabilitas baru yang dibuat sistem berada di lokasi us, maka Anda memerlukan kunci Cloud KMS di lokasi us.

2. Identifikasi akun layanan untuk resource Anda.

   Misalnya, jika Anda ingin semua bucket pengamatan yang dibuat sistem baru di organisasi Anda berada di lokasi us dan menggunakan CMEK, panggil getSettings ke lokasi global dan tetapkan parameter jalur ke organisasi. Data respons mencantumkan akun layanan organisasi:

   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

3. Beri akun layanan yang Anda identifikasi pada langkah sebelumnya peran Cloud KMS CryptoKey Encrypter/Decrypter (roles.cloudkms.cryptoKeyEncrypterDecrypter untuk kunci Cloud KMS yang ingin Anda gunakan untuk mengenkripsi dan mendekripsi data.

   Pengikatan peran ini ditujukan untuk kunci Cloud KMS tertentu.

   gcloud CLI

   Jalankan perintah gcloud kms keys add-iam-policy-binding:

   gcloud kms keys add-iam-policy-binding KMS_KEY_NAME \
   --project=KMS_PROJECT_ID \
   --member=serviceAccount:SERVICE_ACCT_NAME@gcp-sa-observability.iam.gserviceaccount.com \
   --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
   --location=LOCATION_ID \
   --keyring=KMS_KEY_RING
   

   Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

   • KMS_KEY_NAME: Nama kunci.
   • KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud Anda dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
   • SERVICE_ACCT_NAME: Nama akun layanan resource Anda, yang Anda identifikasi pada langkah sebelumnya.
   • LOCATION_ID: Lokasi kunci Cloud KMS Anda.
   • KMS_KEY_RING: Nama key ring Cloud KMS.

   Konsol Google Cloud

   1. Di konsol Google Cloud , buka halaman Key management.

      Buka Pengelolaan kunci

   2. Pilih nama key ring yang berisi kunci.

   3. Centang kotak untuk kunci.

      Tab Izin akan tersedia.

   4. Dalam dialog Add members, tentukan alamat email akun layanan Google Cloud Observability yang Anda berikan akses.

   5. Di menu Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypter.

   6. Klik Tambahkan.

Menetapkan kunci Cloud KMS default untuk resource dan lokasi

Pada langkah sebelumnya, Anda telah memberikan izin kepada akun layanan resource untuk mengenkripsi dan mendekripsi data untuk kunci Cloud KMS tertentu. Misalnya, Anda mungkin telah memberikan peran IAM ke akun layanan organisasi yang memungkinkannya mengakses kunci Cloud KMS yang berada di lokasi us.

Pada langkah ini, untuk resource tersebut dan untuk lokasi kunci Cloud KMS, Anda akan memperbarui setelan default untuk bucket kemampuan pengamatan dengan informasi kunci. Misalnya, pada langkah ini, Anda dapat mengonfigurasi setelan default untuk bucket kemampuan pengamatan bagi organisasi Anda dan untuk lokasi us, ke kunci Cloud KMS yang juga berada di lokasi us.

REST

1. Untuk resource yang setelan defaultnya ingin Anda tetapkan, pilih endpoint yang sesuai, lalu di APIs Explorer, tentukan parameter jalur:

   Organisasi:

   • Endpoint API: organizations.locations.updateSettings

   • Parameter jalur:

     organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings
     

   Folder:

   • Endpoint API: folders.locations.updateSettings

   • Parameter jalur:

     folders/FOLDER_ID/locations/LOCATION_ID/settings
     

   Project:

   • Endpoint API: projects.locations.updateSettings

   • Parameter jalur:

     projects/PROJECT_ID/locations/LOCATION_ID/settings
     

   Variabel dalam ekspresi sebelumnya memiliki arti sebagai berikut:

   • ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
   • FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
   • PROJECT_ID: ID project.
   • LOCATION_ID: Lokasi kunci Cloud KMS Anda.

2. Tetapkan kolom updateMask sebagai berikut:

   updateMask=kmsKeyName
   

3. Konfigurasi Isi permintaan sebagai berikut:

   {
     "kmsKeyName"="projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   }
   

   Sebelum memasukkan nilai, lakukan penggantian berikut:

   • KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud Anda dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
   • LOCATION_ID: Lokasi kunci Cloud KMS Anda.
   • KMS_KEY_RING: Nama key ring Cloud KMS.
   • KMS_KEY_NAME: Nama kunci.

   Nilai "kmsKeyName" adalah nama kunci Anda yang sepenuhnya memenuhi syarat.

4. Klik Jalankan.

   Jika berhasil, responsnya adalah objek Settings.

   Misalnya, Anda mengeluarkan perintah updateSettings untuk menetapkan kunci Cloud KMS dan menetapkan parameter jalur ke organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings, maka responsnya akan mirip dengan berikut ini:

   name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   kms_key_name: "projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   

Menetapkan lokasi penyimpanan default untuk resource

Langkah ini menjelaskan cara menetapkan lokasi penyimpanan default untuk resource, yaitu organisasi, folder, atau project. Semua turunan dalam hierarki resource otomatis menggunakan lokasi penyimpanan default, kecuali turunan yang telah Anda konfigurasi lokasi penyimpanan defaultnya.

Misalnya, jika Anda menetapkan lokasi penyimpanan default untuk organisasi ke lokasi us, maka bucket pengamatan yang dibuat sistem baru di organisasi tersebut berada di lokasi us. Jika Anda ingin folder atau project memiliki lokasi penyimpanan default yang berbeda, konfigurasi setelan default untuk bucket pengamatan untuk folder atau project.

Jika Anda ingin bucket pengamatan yang dibuat sistem di resource menggunakan CMEK, selesaikan langkah-langkah berikut sebelum Anda menetapkan lokasi penyimpanan default untuk resource:

1. Berikan peran IAM kepada akun layanan resource yang memungkinkan akun layanan mengenkripsi dan mendekripsi data. Peran ini ditujukan untuk kunci Cloud KMS tertentu, dan kunci tersebut berada di lokasi tertentu.
2. Konfigurasi setelan default untuk bucket kemampuan pengamatan untuk lokasi resource dan kunci dengan informasi kunci Cloud KMS.

REST

Untuk menetapkan lokasi penyimpanan default untuk organisasi, folder, atau project Anda, lakukan hal berikut:

1. Untuk resource yang setelan defaultnya ingin Anda tetapkan, pilih endpoint yang sesuai, lalu di APIs Explorer, tentukan parameter jalur:

   Organisasi:

   • Endpoint API: organizations.locations.updateSettings

   • Parameter jalur:

     organizations/ORGANIZATION_ID/locations/global/settings
     

   Folder:

   • Endpoint API: folders.locations.updateSettings

   • Parameter jalur:

     folders/FOLDER_ID/locations/global/settings
     

   Project:

   • Endpoint API: projects.locations.updateSettings

   • Parameter jalur:

     projects/PROJECT_ID/locations/global/settings
     

   Variabel dalam ekspresi sebelumnya memiliki arti sebagai berikut:

   • ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
   • FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
   • PROJECT_ID: ID project.

2. Tetapkan kolom updateMask sebagai berikut:

   updateMask=defaultStorageLocation
   

3. Konfigurasi Isi permintaan sebagai berikut:

   {
     "defaultStorageLocation"="DEFAULT_STORAGE_LOCATION"
   }
   

   Ganti DEFAULT_STORAGE_LOCATION dengan lokasi bucket pengamatan yang didukung.

   Misalnya, Anda ingin semua bucket observabilitas yang dibuat sistem baru di organisasi Anda berada di lokasi us dan menggunakan CMEK. Pada langkah-langkah sebelumnya, Anda memberikan peran IAM kepada akun layanan organisasi yang memungkinkannya mengenkripsi dan mendekripsi data menggunakan kunci Cloud KMS yang berada di lokasi us. Anda menyelesaikan konfigurasi dengan menyetel DEFAULT_STORAGE_LOCATION ke us.

4. Klik Jalankan.

   Jika berhasil, responsnya adalah objek Settings.

   Misalnya, jika Anda mengeluarkan perintah updateSettings am dan menetapkan parameter jalur ke organisasi serta menetapkan lokasi penyimpanan default ke us, maka responsnya akan mirip dengan berikut ini:

   default_storage_location: "us"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

Memperbarui lokasi penyimpanan default untuk resource

Untuk mengupdate lokasi penyimpanan default organisasi, folder, atau project, ikuti prosedur yang sama seperti saat Anda menetapkan lokasi penyimpanan default.

Mengelola kunci Cloud KMS

Bagian berikut menjelaskan cara mengubah, menonaktifkan, atau mencabut akses ke kunci Cloud KMS.

Memperbarui kunci Cloud KMS default untuk resource dan lokasi

Untuk memperbarui kunci Cloud KMS untuk resource dan lokasi tertentu, ikuti prosedur yang sama seperti saat Anda menetapkan kunci Cloud KMS.

Membatalkan setelan kunci Cloud KMS default untuk resource dan lokasi

Untuk membatalkan setelan atau menghapus kunci Cloud KMS untuk resource dan lokasi tertentu, ikuti prosedur yang sama seperti yang dijelaskan dalam Menetapkan kunci Cloud KMS default untuk lokasi. Namun, saat mengonfigurasi isi permintaan, tetapkan nilai kunci ke string kosong.

{
  "kmsKeyName"=""
}

Jika resource tidak memiliki kunci Cloud KMS default, sistem akan menelusuri kunci Cloud KMS default di ancestor resource:

• Jika kunci Cloud KMS ditemukan, kunci tersebut akan digunakan untuk mengenkripsi data yang disimpan di bucket observabilitas baru.

• Jika kunci Cloud KMS tidak ditemukan, bucket observabilitas baru tidak menggunakan CMEK.

Mencabut akses utama untuk resource dan lokasi

Saat mengonfigurasi setelan default untuk bucket kemampuan pengamatan untuk resource dan lokasi dengan kunci Cloud KMS, Anda harus memberikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS (roles.cloudkms.cryptoKeyEncrypterDecrypter) untuk kunci tersebut kepada akun layanan resource.

Jika Anda tidak ingin resource memiliki akses ke kunci, hapus binding IAM untuk kunci tersebut. Anda dapat menghapus pengikatan ini dengan menjalankan perintah gcloud kms keys remove-iam-policy-binding.

Mungkin perlu waktu beberapa jam agar perubahan peran diterapkan sepenuhnya.

Perilaku rotasi kunci

Google Cloud Observability tidak otomatis merotasi kunci enkripsi untuk file pemulihan bencana sementara saat kunci Cloud KMS yang terkait dengan organisasi atau folder dirotasi. Google Cloud File pemulihan yang ada akan terus menggunakan versi kunci yang digunakan untuk membuat file tersebut. File pemulihan baru menggunakan versi kunci utama saat ini.

Untuk mempelajari lebih lanjut, lihat Rotasi kunci.

Batasan

Berikut adalah batasan umum saat Anda mengonfigurasi setelan default untuk bucket kemampuan pengamatan agar memiliki setelan CMEK.

Penurunan kualitas karena kunci tidak tersedia

Google Cloud Observability menggunakan Cloud KMS API untuk mengakses kunci Cloud KMS dan kunci Cloud EKM. Kedua jenis kunci mungkin tidak tersedia.

Jika kunci tidak tersedia, hal berikut akan terjadi:

• Anda tidak dapat membuat kueri data yang disimpan.
• Google Cloud Observability melakukan buffering data selama tiga jam terakhir. Data yang lebih lama dari periode tiga jam ini mungkin dihapus.
• Untuk penyimpanan data permanen, kunci Cloud KMS harus tersedia dan dapat diakses setidaknya selama 24 jam berturut-turut dalam periode 48 jam setelah data ditulis. Jika kunci Cloud KMS tidak tersedia dan dapat diakses selama periode ini, data mungkin tidak sepenuhnya dipertahankan ke penyimpanan dan mungkin dibuang.

Langkah berikutnya

• Memecahkan masalah bucket kemampuan pengamatan.
• Mengelola bucket pengamatan.