In diesem Dokument wird beschrieben, wie Sie eine Organisation, einen Ordner oder ein Projekt so konfigurieren, dass Ihre Observability-Buckets Ihren Compliance- oder behördlichen Anforderungen entsprechen.
Mit Standardeinstellungen für Observability-Buckets können Sie für Organisationen, Ordner und Projekte Folgendes konfigurieren:
- Ein Standardspeicherort.
- Für jeden Standort ein standardmäßiger Cloud Key Management Service-Schlüssel.
Untergeordnete Elemente in der Ressourcenhierarchie verwenden diese Einstellungen automatisch, mit Ausnahme der untergeordneten Elemente, für die Sie Standardeinstellungen konfiguriert haben.
Die Standardeinstellungen für Observability-Buckets gelten nur für neue Ressourcen, nicht für vorhandene Ressourcen.
Die Standardeinstellungen für Observability-Buckets gelten nicht für Log-Buckets, in denen Logdaten gespeichert werden. Informationen zum Festlegen des Standardspeicherorts oder zum Erfordern von CMEK für Log-Buckets finden Sie unter Standardressourceneinstellungen für Cloud Logging konfigurieren.
Standardeinstellungen für Beobachtbarkeits-Buckets ansehen
In diesem Abschnitt wird beschrieben, wie Sie die Standardeinstellungen für Observability-Buckets für eine Ressource (Organisation, Ordner oder Projekt) aufrufen können.
Um die Standardeinstellungen für Observability-Buckets abzurufen, müssen Sie mehrere Befehle ausführen. Der erste Befehl gibt den Standardspeicherort zurück. Der zweite Befehl gibt den Cloud KMS-Schlüssel für diesen Standort zurück.
Die in diesem Abschnitt beschriebenen Befehle beziehen sich auf eine bestimmte Ressource. Die Antworten dieser Befehle sind auf die vom Nutzer konfigurierten Werte für diese Ressource beschränkt. Mit diesen Befehlen werden keine Einstellungen zurückgegeben, die von der Ressource verwendet werden könnten, aber für ein übergeordnetes Element konfiguriert sind.
Hinweis
- Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Observability Viewer (
roles/observability.viewer) für die Organisation, den Ordner oder das Projekt zuzuweisen, um die Berechtigung zu erhalten, die Sie zum Aufrufen der Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.Diese vordefinierte Rolle enthält die Berechtigung
observability.settings.get, die zum Aufrufen der Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt erforderlich ist.Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
-
Wählen Sie den Tab aus, der Ihrer geplanten Verwendung der Beispiele auf dieser Seite entspricht:
gcloud
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Terraform
Wenn Sie die Terraform-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten Sie dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.
-
Installieren Sie die Google Cloud CLI.
-
Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
-
Wenn Sie eine lokale Shell verwenden, erstellen Sie lokale Anmeldedaten zur Authentifizierung für Ihr Nutzerkonto:
gcloud auth application-default login
Wenn Sie Cloud Shell verwenden, müssen Sie das nicht tun.
Wenn ein Authentifizierungsfehler zurückgegeben wird und Sie einen externen Identitätsanbieter (IdP) verwenden, prüfen Sie, ob Sie sich mit Ihrer föderierten Identität in der gcloud CLI angemeldet haben.
Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter ADC für eine lokale Entwicklungsumgebung einrichten.
REST
Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, verwenden Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.
Installieren Sie die Google Cloud CLI.
Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
Weitere Informationen finden Sie in der Dokumentation zur Google Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.
-
Standardspeicherort für eine Ressource abrufen
Wenn Sie den Standardspeicherort für eine Ressource abrufen möchten, senden Sie einen Befehl an einen ressourcenspezifischen Endpunkt und legen den Speicherort dieses Befehls auf global fest. Die Antwortdaten enthalten den Standardspeicherort und den Namen eines Dienstkontos. Wenn Sie CMEK für die Ressource benötigen, wird dieses Dienstkonto zum Abrufen von Cloud KMS-Schlüsseln verwendet.
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
Verwenden Sie eine der folgenden Optionen, um die ID des Projekts, Ordners oder der Organisation, die Sie abfragen möchten, an den Befehl zu übergeben:--project=PROJECT_ID, wobei PROJECT_ID die ID Ihres Projekts enthält.--folder=FOLDER_ID, wobei FOLDER_ID die ID Ihres Ordners enthält.--organization=ORGANIZATION_ID, wobei ORGANIZATION_ID die ID Ihrer Organisation enthält.
Führen Sie den Befehl gcloud beta observability settings describe aus:
Linux, macOS oder Cloud Shell
gcloud beta observability settings describe \ --location=global --project=PROJECT_ID
Windows (PowerShell)
gcloud beta observability settings describe ` --location=global --project=PROJECT_ID
Windows (cmd.exe)
gcloud beta observability settings describe ^ --location=global --project=PROJECT_ID
Das folgende Beispiel zeigt die Antwort auf den Befehl:
Parsed [location] resource: projects/my-project/locations/global defaultStorageLocation: eu name: projects/my-project/locations/global/settings serviceAccountId: service-12345@gcp-sa-observability.iam.gserviceaccount.com
Terraform
Mit Terraform können Sie einen Standardspeicherort für eine Ressource festlegen, z. B. ein Projekt, ein Ordner oder eine Organisation. Sie können mit Terraform jedoch nicht den Standardspeicherort für eine Ressource abrufen.
REST
Wählen Sie für die Ressource, deren Standardeinstellungen Sie anzeigen möchten, den entsprechenden Endpunkt aus und geben Sie dann im APIs Explorer den Pfadparameter an:
Organisation:
- API-Endpunkt:
organizations.locations.getSettings Pfadparameter:
organizations/ORGANIZATION_ID/locations/global/settings
Ordner:
- API-Endpunkt:
folders.locations.getSettings Pfadparameter:
folders/FOLDER_ID/locations/global/settings
Projekt:
API-Endpunkt:
projects.locations.getSettingsPfadparameter:
projects/PROJECT_ID/locations/global/settings
Die Variablen in den vorherigen Ausdrücken haben die folgende Bedeutung:
- ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
- FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- PROJECT_ID: Die Kennung des Projekts.
- API-Endpunkt:
Klicken Sie auf Ausführen.
Wenn der Vorgang erfolgreich abgeschlossen wurde, ist die Antwort ein
Settings-Objekt. Wenn das Felddefault_storage_locationleer ist, ist kein Standardspeicherort festgelegt.Wenn Sie beispielsweise einen
getSettings-Befehl ausgeben und den Parameter „path“ auf eine Organisation festlegen, sieht die Antwort so aus:Standardspeicherort auf
"us"festgelegt:default_storage_location: "us" service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.comKein Standardspeicherort festgelegt:
service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
Standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort abrufen
Cloud KMS-Schlüssel sind regionale Ressourcen. Sie können nur zum Verschlüsseln oder Entschlüsseln von Daten verwendet werden, die am selben Ort wie der Schlüssel gespeichert sind. Für jeden von Observability-Buckets unterstützten Standort und für jede Organisation, jeden Ordner oder jedes Projekt können Sie die Standardeinstellungen für Observability-Buckets mit einem Cloud KMS-Schlüssel konfigurieren.
In diesem Abschnitt wird beschrieben, wie Sie den standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort abrufen.
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- LOCATION: Der Speicherort des Cloud KMS-Schlüssels für Ihre Ressource. Die Ressource ist ein Projekt, ein Ordner oder eine Organisation. Wenn Sie den Speicherort auf
globalfestlegen, gibt der Befehl den Standardspeicherort für die Ressource zurück. - Verwenden Sie eine der folgenden Optionen, um die ID des Projekts, des Ordners oder der Organisation, die Sie abfragen möchten, an den Befehl zu übergeben:
--project=PROJECT_ID, wobei PROJECT_ID die ID Ihres Projekts enthält.--folder=FOLDER_ID, wobei FOLDER_ID die ID Ihres Ordners enthält.--organization=ORGANIZATION_ID, wobei ORGANIZATION_ID die ID Ihrer Organisation enthält.
Führen Sie den Befehl gcloud beta observability settings describe aus:
Linux, macOS oder Cloud Shell
gcloud beta observability settings describe \ --location=LOCATION --project=PROJECT_ID
Windows (PowerShell)
gcloud beta observability settings describe ` --location=LOCATION --project=PROJECT_ID
Windows (cmd.exe)
gcloud beta observability settings describe ^ --location=LOCATION --project=PROJECT_ID
Das folgende Beispiel zeigt die Antwort auf den Befehl:
Parsed [location] resource: projects/my-project/locations/us kmsKeyName: projects/my-project/locations/us/keyRings/test/cryptoKeys/test-key name: projects/my-project/locations/us/settings serviceAccountId: service-12345@gcp-sa-observability.iam.gserviceaccount.com
Terraform
Mit Terraform können Sie einen standardmäßigen Cloud Key Management Service-Schlüssel für einen Standort und eine Ressource (Projekt, Ordner oder Organisation) festlegen. Sie können Terraform nicht verwenden, um den Standardspeicherort für eine Ressource abzurufen.
REST
Wählen Sie für die Ressource, deren Standardeinstellungen Sie anzeigen möchten, den entsprechenden Endpunkt aus und geben Sie dann im APIs Explorer den Pfadparameter an:
Organisation:
API-Endpunkt:
organizations.locations.getSettingsPfadparameter:
organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings
Ordner:
- API-Endpunkt:
folders.locations.getSettings Pfadparameter:
folders/FOLDER_ID/locations/LOCATION_ID/settings
Projekt:
- API-Endpunkt:
projects.locations.getSettings Pfadparameter:
projects/PROJECT_ID/locations/LOCATION_ID/settings
Die Variablen in den vorherigen Ausdrücken haben die folgende Bedeutung:
- ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
- FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- PROJECT_ID: Die Kennung des Projekts.
- LOCATION_ID: Der Standort, dessen CMEK-Konfiguration Sie aufrufen möchten.
Klicken Sie auf Ausführen.
Wenn der Vorgang erfolgreich abgeschlossen wurde, ist die Antwort ein
Settings-Objekt.Angenommen, Sie geben den Befehl
getSettingsaus und legen den Pfadparameter auforganizations/ORGANIZATION_ID/locations/LOCATION_ID/settingsfest. Die Antwort sieht dann so aus:Wenn kein Cloud KMS-Schlüssel für die Organisation und den Standort festgelegt ist, wird in der Antwort nur ein Dienstkonto aufgeführt:
service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.comWenn der Cloud KMS-Schlüssel für die Organisation und den Standort festgelegt ist, enthält die Antwort ein Dienstkonto und den Cloud KMS-Schlüsselnamen:
name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings" service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com kms_key_name: "projects/my-kms-project/locations/LOCATION_ID/keyRings/my-key-ring/cryptoKeys/my-key"
Standardeinstellungen für Observability-Buckets festlegen
In diesem Abschnitt wird beschrieben, wie Sie Standardeinstellungen für Observability-Buckets für eine Ressource konfigurieren, die eine Organisation, ein Ordner oder ein Projekt ist.
Wenn Sie CMEK für eine Ressource und einen Standort benötigen, konfigurieren Sie die Standardeinstellungen für Observability-Buckets für dieses Paar, bevor Sie den Standardspeicherort festlegen. Wenn Sie Standardeinstellungen für eine Ressource und einen Standort konfigurieren, geben Sie den zu verwendenden Cloud KMS-Schlüssel an.
Diese Anleitung bezieht sich auf den APIs Explorer, mit dem Sie API-Befehle über eine Dokumentationsseite ausgeben können. Sie können aber auch einen curl-Befehl ausführen.
Beispielkonfigurationen
In diesem Abschnitt werden gängige Anwendungsfälle aufgeführt.
Neue Buckets müssen sich an einem bestimmten Ort befinden
Wenn Sie festlegen möchten, dass neue, vom System erstellte Observability-Buckets in Ihrer Organisation am Standort us sein müssen, legen Sie den Standardspeicherort für Ihre Organisation auf us fest.
Wenn Sie die Einstellungen auf Organisationsebene überschreiben und festlegen möchten, dass neue, vom System erstellte Observability-Buckets im untergeordneten Ordner mit dem Namen my-eu-projects in der Region eu sein müssen, legen Sie den Standardspeicherort für den Ordner my-eu-projects auf eu fest.
Erfordern, dass sich neue Buckets an einem bestimmten Standort befinden und CMEK verwenden
So legen Sie fest, dass alle neuen, vom System erstellten Observability-Buckets in Ihrer Organisation sich am Standort us befinden und CMEK verwenden müssen:
Konfigurieren Sie die Standardeinstellungen für Observability-Buckets für Ihre Organisation und den Standort
us, um einen Cloud KMS-Schlüssel anzugeben.Legen Sie
usals Standardspeicherort für Ihre Organisation fest.
Hinweis
Wenn Sie nur den Standardspeicherort festlegen möchten, benötigen Sie keine Cloud KMS-Rollen.
-
Um die Berechtigungen zu erhalten, die Sie zum Festlegen der Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt benötigen, bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation, den Ordner oder das Projekt zuzuweisen:
-
Observability Editor (
roles/observability.editor) -
Cloud KMS-Administrator (
roles/cloudkms.admin)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Festlegen der Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um die Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt festzulegen:
-
observability.settings.get -
observability.settings.update -
cloudkms.cryptoKeys.getIamPolicy -
cloudkms.cryptoKeys.setIamPolicy
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
-
Observability Editor (
Wenn Sie die Verwendung von CMEK erzwingen möchten, müssen Sie einen Cloud KMS-Schlüssel am erforderlichen Speicherort haben. Erstellen Sie bei Bedarf einen Cloud KMS-Schlüsselbund und einen Cloud KMS-Schlüssel.
Bestimmen Sie die Ressource, deren Standardeinstellungen für Observability-Buckets Sie aktualisieren möchten. Diese Ressource kann eine Organisation, ein Ordner oder ein Projekt sein.
Wenn Sie Standardeinstellungen für eine Organisation oder einen Ordner konfigurieren, gelten sie für alle untergeordneten Elemente dieser Organisation oder dieses Ordners. Wenn Sie Standardeinstellungen für Observability-Buckets für ein Projekt konfigurieren, gelten sie nur für dieses Projekt.
Dienstkonto der Ressource Zugriff auf einen Schlüssel gewähren
Weisen Sie dem Dienstkonto der Ressource, deren Standardeinstellungen Sie konfigurieren möchten, eine Rolle zu:
Ermitteln Sie den Cloud KMS-Schlüssel, den Sie für die Verschlüsselung und Entschlüsselung verwenden möchten.
Cloud KMS-Schlüssel sind regional. Wenn Sie beispielsweise festlegen möchten, dass neue, vom System erstellte Observability-Buckets sich am Standort
usbefinden müssen, benötigen Sie einen Cloud KMS-Schlüssel am Standortus.Identifizieren Sie das Dienstkonto für Ihre Ressource.
Wenn Sie beispielsweise möchten, dass alle neuen, vom System erstellten Observability-Buckets in Ihrer Organisation sich am Standort
usbefinden und CMEK verwenden, stellen Sie einengetSettings-Aufruf an den Standortglobalund legen Sie den Pfadparameter auf eine Organisation fest. In den Antwortdaten wird das Dienstkonto der Organisation aufgeführt:service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.comWeisen Sie dem Dienstkonto, das Sie im vorherigen Schritt ermittelt haben, die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (
roles.cloudkms.cryptoKeyEncrypterDecrypter) für den Cloud KMS-Schlüssel zu, den Sie zum Verschlüsseln und Entschlüsseln von Daten verwenden möchten.Diese Rollenbindung gilt für einen bestimmten Cloud KMS-Schlüssel.
gcloud-CLI
Zum Abrufen der aktuellen Richtlinie führen Sie den Befehl
gcloud kms keys add-iam-policy-bindingaus:gcloud kms keys add-iam-policy-binding KMS_KEY_NAME \ --project=KMS_PROJECT_ID \ --member=serviceAccount:SERVICE_ACCT_NAME@gcp-sa-observability.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \ --location=LOCATION_ID \ --keyring=KMS_KEY_RINGErsetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:
- KMS_KEY_NAME: der Name des Schlüssels
- KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung aus dem Namen Ihres Google Cloud -Projekts und einer zufällig zugewiesenen Nummer des Google Cloud -Projekts, in dem Cloud KMS ausgeführt wird. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.
- SERVICE_ACCT_NAME: Der Name des Dienstkontos Ihrer Ressource, das Sie im vorherigen Schritt ermittelt haben.
- LOCATION_ID: Der Speicherort Ihres Cloud KMS-Schlüssels.
- KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
Google Cloud Console
- Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
- Wählen Sie den Namen des Schlüsselbunds aus, der den Schlüssel enthält.
Klicken Sie das Kästchen für den Schlüssel an.
Der Tab Berechtigungen wird verfügbar.
Geben Sie im Dialogfeld Mitglieder hinzufügen die E-Mail-Adresse des Google Cloud Observability-Dienstkontos an, auf das Sie Zugriff gewähren.
Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
Klicken Sie auf Hinzufügen.
Standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort festlegen
Im vorherigen Schritt haben Sie dem Dienstkonto einer Ressource die Berechtigungen zum Ver- und Entschlüsseln von Daten für einen bestimmten Cloud KMS-Schlüssel erteilt.
Beispielsweise haben Sie dem Dienstkonto einer Organisation möglicherweise eine IAM-Rolle zugewiesen, mit der es auf einen Cloud KMS-Schlüssel am Standort us zugreifen kann.
In diesem Schritt aktualisieren Sie für diese Ressource und für den Standort des Cloud KMS-Schlüssels die Standardeinstellungen für Observability-Buckets mit den Schlüsselinformationen.
In diesem Schritt können Sie beispielsweise die Standardeinstellungen für Observability-Buckets für Ihre Organisation und für den Standort us auf den Cloud KMS-Schlüssel konfigurieren, der sich ebenfalls am Standort us befindet.
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- KMS_KEY_NAME: Der Name des Cloud KMS-Schlüssels.
- LOCATION: Der Speicherort des Cloud KMS-Schlüssels für Ihre Ressource. Die Ressource ist ein Projekt, ein Ordner oder eine Organisation. Wenn Sie den Speicherort auf
globalfestlegen, gibt der Befehl den Standardspeicherort für die Ressource zurück. - Verwenden Sie eine der folgenden Optionen, um die ID des Projekts, des Ordners oder der Organisation, die Sie abfragen möchten, an den Befehl zu übergeben:
--project=PROJECT_ID, wobei PROJECT_ID die ID Ihres Projekts enthält.--folder=FOLDER_ID, wobei FOLDER_ID die ID Ihres Ordners enthält.--organization=ORGANIZATION_ID, wobei ORGANIZATION_ID die ID Ihrer Organisation enthält.
Führen Sie den Befehl gcloud beta observability settings update aus:
Linux, macOS oder Cloud Shell
gcloud beta observability settings update \ --kms-key-name=KMS_KEY_NAME \ --update-mask=kms-key-name \ --location=LOCATION --project=PROJECT_ID
Windows (PowerShell)
gcloud beta observability settings update ` --kms-key-name=KMS_KEY_NAME ` --update-mask=kms-key-name ` --location=LOCATION --project=PROJECT_ID
Windows (cmd.exe)
gcloud beta observability settings update ^ --kms-key-name=KMS_KEY_NAME ^ --update-mask=kms-key-name ^ --location=LOCATION --project=PROJECT_ID
Der Aktualisierungsbefehl initiiert einen Vorgang mit langer Ausführungszeit. Das folgende Beispiel zeigt die Antwort auf den Befehl:
Parsed [location] resource: projects/my-project/locations/us Request issued for: [us] Waiting for operation [projects/my-project/locations/us/operations/operation-1775247021184-64e93e8161585-1a55612f-73382a5a] to complete...done. Updated location [us]. '@type': type.googleapis.com/google.cloud.observability.v1.Settings kmsKeyName: projects/my-project/locations/us/keyRings/test/cryptoKeys/test-key name: projects/my-project/locations/us/settings serviceAccountId: service-12345@gcp-sa-observability.iam.gserviceaccount.com
Terraform
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle. Weitere Informationen finden Sie in der Referenzdokumentation des Anbieters zu Terraform.
So legen Sie einen standardmäßigen Cloud Key Management Service-Schlüssel für einen Standort und eine Ressource fest:
Wählen Sie die entsprechende Terraform-Ressource basierend auf der Google Cloud-Ressource aus, die Sie konfigurieren möchten:
Organisation:
- Verwenden Sie die Terraform-Ressource
google_observability_organization_settings. - Setzen Sie das Feld
organizationauf die ID der Organisation.
Ordner:
- Verwenden Sie die Terraform-Ressource
google_observability_folder_settings. - Setzen Sie das Feld
folderauf die ID des Ordners.
Projekt:
- Verwenden Sie die Terraform-Ressource
google_observability_project_settings. - Legen Sie für das Feld
projectdie ID des Projekts fest.
- Verwenden Sie die Terraform-Ressource
Legen Sie die Werte für die folgenden Felder fest:
- Legen Sie das Feld
locationauf den Speicherort für den standardmäßigen Cloud KMS-Schlüssel fest. - Setzen Sie das Feld
kms_key_nameauf den Cloud KMS-Schlüssel.
- Legen Sie das Feld
Nachdem Sie die Datei
main.tfaktualisiert haben, führen Sie ein Upgrade Ihrer Terraform-Installation durch:terraform -init upgradeDas Upgrade ist erforderlich, da die erforderlichen Terraform-Ressourcen Beta sind.
REST
Wählen Sie für die Ressource, deren Standardeinstellungen Sie festlegen möchten, den entsprechenden Endpunkt aus und geben Sie dann im APIs Explorer den Pfadparameter an:
Organisation:
- API-Endpunkt:
organizations.locations.updateSettings Pfadparameter:
organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings
Ordner:
- API-Endpunkt:
folders.locations.updateSettings Pfadparameter:
folders/FOLDER_ID/locations/LOCATION_ID/settings
Projekt:
- API-Endpunkt:
projects.locations.updateSettings Pfadparameter:
projects/PROJECT_ID/locations/LOCATION_ID/settings
Die Variablen in den vorherigen Ausdrücken haben die folgende Bedeutung:
- ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
- FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- PROJECT_ID: Die Kennung des Projekts.
- LOCATION_ID: Der Speicherort Ihres Cloud KMS-Schlüssels.
- API-Endpunkt:
Legen Sie das Feld updateMask so fest:
updateMask=kmsKeyNameKonfigurieren Sie den Anfragetext so:
{ "kmsKeyName"="projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME" }Ersetzen Sie vor dem Eingeben der Werte die folgenden Platzhalter:
- KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung aus dem Namen Ihres Google Cloud -Projekts und einer zufällig zugewiesenen Nummer des Google Cloud -Projekts, in dem Cloud KMS ausgeführt wird. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.
- LOCATION_ID: Der Speicherort Ihres Cloud KMS-Schlüssels.
- KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
- KMS_KEY_NAME: der Name des Schlüssels
Der Wert von
"kmsKeyName"ist der vollständig qualifizierte Name Ihres Schlüssels.Klicken Sie auf Ausführen.
Wenn der Vorgang erfolgreich abgeschlossen wurde, ist die Antwort ein
Settings-Objekt.Angenommen, Sie führen den Befehl
updateSettingsaus, um einen Cloud KMS-Schlüssel festzulegen, und Sie legen den Pfadparameter auforganizations/ORGANIZATION_ID/locations/LOCATION_ID/settingsfest. Die Antwort sieht dann in etwa so aus:name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings" service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com kms_key_name: "projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
Standardspeicherort für eine Ressource festlegen
In diesem Schritt wird beschrieben, wie Sie einen Standardspeicherort für eine Ressource (Organisation, Ordner oder Projekt) festlegen. Alle untergeordneten Elemente in der Ressourcenhierarchie verwenden automatisch den Standardspeicherort, mit Ausnahme der untergeordneten Elemente, für die Sie einen Standardspeicherort konfiguriert haben.
Wenn Sie beispielsweise den Standardspeicherort für eine Organisation auf us festlegen, befinden sich neue, vom System erstellte Observability-Buckets in dieser Organisation am Standort us. Wenn Sie für einen Ordner oder ein Projekt einen anderen Standardspeicherort festlegen möchten, konfigurieren Sie die Standardeinstellungen für Observability-Buckets für den Ordner oder das Projekt.
Wenn die vom System erstellten Observability-Buckets in einer Ressource CMEK verwenden sollen, führen Sie die folgenden Schritte aus, bevor Sie den Standardspeicherort für die Ressource festlegen:
- Weisen Sie dem Dienstkonto der Ressource die IAM-Rolle zu, mit der das Dienstkonto Daten verschlüsseln und entschlüsseln kann. Diese Rolle gilt für einen bestimmten Cloud KMS-Schlüssel, der sich an einem bestimmten Standort befindet.
- Konfigurieren Sie die Standardeinstellungen für Observability-Buckets für den Ressourcen- und Schlüsselstandort mit den Cloud KMS-Schlüsselinformationen.
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
- DEFAULT_STORAGE_LOCATION: Der Standardspeicherort für Ihr Projekt, Ihren Ordner oder Ihre Organisation. Dieser Speicherort gilt für neue Observability-Buckets. Sie müssen einen unterstützten Bucket-Speicherort für die Observability eingeben.
- Verwenden Sie eine der folgenden Optionen, um die ID des Projekts, des Ordners oder der Organisation, die Sie abfragen möchten, an den Befehl zu übergeben:
--project=PROJECT_ID, wobei PROJECT_ID die ID Ihres Projekts enthält.--folder=FOLDER_ID, wobei FOLDER_ID die ID Ihres Ordners enthält.--organization=ORGANIZATION_ID, wobei ORGANIZATION_ID die ID Ihrer Organisation enthält.
Führen Sie den Befehl gcloud beta observability settings update aus:
Linux, macOS oder Cloud Shell
gcloud beta observability settings update \ --default-storage-location=DEFAULT_STORAGE_LOCATION \ --update-mask=default-storage-location \ --location=global --project=PROJECT_ID
Windows (PowerShell)
gcloud beta observability settings update ` --default-storage-location=DEFAULT_STORAGE_LOCATION ` --update-mask=default-storage-location ` --location=global --project=PROJECT_ID
Windows (cmd.exe)
gcloud beta observability settings update ^ --default-storage-location=DEFAULT_STORAGE_LOCATION ^ --update-mask=default-storage-location ^ --location=global --project=PROJECT_ID
Der Aktualisierungsbefehl initiiert einen Vorgang mit langer Ausführungszeit. Das folgende Beispiel zeigt die Antwort auf den Befehl:
Parsed [location] resource: projects/my-project/locations/global Request issued for: [global] Waiting for operation [projects/my-project/locations/global/operations/operation-1775247065869-64e93eabfee29-f7d39a96-5e23c6c7] to complete...done. Updated location [global]. '@type': type.googleapis.com/google.cloud.observability.v1.Settings defaultStorageLocation: us name: projects/my-project/locations/global/settings serviceAccountId: service-12345@gcp-sa-observability.iam.gserviceaccount.com
Terraform
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle. Weitere Informationen finden Sie in der Referenzdokumentation des Anbieters zu Terraform.
So legen Sie einen Standardspeicherort fest:
Wählen Sie die entsprechende Terraform-Ressource basierend auf der Google Cloud-Ressource aus, die Sie konfigurieren möchten:
Organisation:
- Verwenden Sie die Terraform-Ressource
google_observability_organization_settings. - Setzen Sie das Feld
organizationauf die ID der Organisation.
Ordner:
- Verwenden Sie die Terraform-Ressource
google_observability_folder_settings. - Setzen Sie das Feld
folderauf die ID des Ordners.
Projekt:
- Verwenden Sie die Terraform-Ressource
google_observability_project_settings. - Legen Sie für das Feld
projectdie ID des Projekts fest.
- Verwenden Sie die Terraform-Ressource
Legen Sie die Werte für die folgenden Felder fest:
- Setzen Sie das Feld
locationaufglobal. - Legen Sie für das Feld
default_storage_locationeinen unterstützten Standort fest.
- Setzen Sie das Feld
Nachdem Sie die Datei
main.tfaktualisiert haben, führen Sie ein Upgrade Ihrer Terraform-Installation durch:terraform -init upgradeDas Upgrade ist erforderlich, da die erforderlichen Terraform-Ressourcen Beta sind.
REST
So legen Sie den Standardspeicherort für Ihre Organisation, Ihren Ordner oder Ihr Projekt fest:
Wählen Sie für die Ressource, deren Standardeinstellungen Sie festlegen möchten, den entsprechenden Endpunkt aus und geben Sie dann im APIs Explorer den Pfadparameter an:
Organisation:
- API-Endpunkt:
organizations.locations.updateSettings Pfadparameter:
organizations/ORGANIZATION_ID/locations/global/settings
Ordner:
- API-Endpunkt:
folders.locations.updateSettings Pfadparameter:
folders/FOLDER_ID/locations/global/settings
Projekt:
- API-Endpunkt:
projects.locations.updateSettings Pfadparameter:
projects/PROJECT_ID/locations/global/settings
Die Variablen in den vorherigen Ausdrücken haben die folgende Bedeutung:
- ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
- FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- PROJECT_ID: Die Kennung des Projekts.
- API-Endpunkt:
Legen Sie das Feld updateMask so fest:
updateMask=defaultStorageLocationKonfigurieren Sie den Anfragetext so:
{ "defaultStorageLocation"="DEFAULT_STORAGE_LOCATION" }Ersetzen Sie DEFAULT_STORAGE_LOCATION durch einen unterstützten Bucket-Speicherort für die Observability.
Angenommen, Sie möchten, dass alle neuen, vom System erstellten Observability-Buckets in Ihrer Organisation sich am Standort
usbefinden und CMEK verwenden. In den vorherigen Schritten haben Sie dem Dienstkonto der Organisation eine IAM-Rolle zugewiesen, mit der es Daten mit einem Cloud KMS-Schlüssel am Speicherortusverschlüsseln und entschlüsseln kann. Sie schließen die Konfiguration ab, indem Sie DEFAULT_STORAGE_LOCATION aufusfestlegen.Klicken Sie auf Ausführen.
Wenn der Vorgang erfolgreich abgeschlossen wurde, ist die Antwort ein
Settings-Objekt.Wenn Sie beispielsweise den Befehl „am
updateSettings“ ausgeben, den Pfadparameter auf eine Organisation festlegen und den Standardspeicherort aufusfestlegen, sieht die Antwort in etwa so aus:default_storage_location: "us" service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
Standardspeicherort für eine Ressource aktualisieren
Wenn Sie den Standardspeicherort für eine Organisation, einen Ordner oder ein Projekt aktualisieren möchten, folgen Sie derselben Vorgehensweise wie beim Festlegen des Standardspeicherorts.
Cloud KMS-Schlüssel verwalten
In den folgenden Abschnitten wird beschrieben, wie Sie einen Cloud KMS-Schlüssel ändern, deaktivieren oder den Zugriff darauf widerrufen.
Standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort aktualisieren
Wenn Sie den Cloud KMS-Schlüssel für eine bestimmte Ressource und einen bestimmten Standort aktualisieren möchten, folgen Sie derselben Vorgehensweise wie beim Festlegen des Cloud KMS-Schlüssels.
Standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort entfernen
Wenn Sie den Cloud KMS-Schlüssel für eine bestimmte Ressource und einen bestimmten Standort aufheben oder löschen möchten, folgen Sie derselben Vorgehensweise wie unter Cloud KMS-Standardschlüssel für einen Standort festlegen beschrieben. Wenn Sie den Anfragetext konfigurieren, legen Sie den Wert des Schlüssels auf einen leeren String fest.
{
"kmsKeyName"=""
}
Wenn für die Ressource kein Standard-Cloud KMS-Schlüssel festgelegt ist, sucht das System in den übergeordneten Elementen der Ressource nach einem Standard-Cloud KMS-Schlüssel:
Wenn ein Cloud KMS-Schlüssel gefunden wird, wird dieser Schlüssel zum Verschlüsseln der Daten verwendet, die im neuen Observability-Bucket gespeichert sind.
Wenn ein Cloud KMS-Schlüssel nicht gefunden wird, wird für den neuen Observability-Bucket keine CMEK verwendet.
Schlüsselzugriff für eine Ressource und einen Standort widerrufen
Wenn Sie die Standardeinstellungen für Observability-Buckets für eine Ressource und einen Standort mit einem Cloud KMS-Schlüssel konfigurieren, müssen Sie dem Dienstkonto der Ressource die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles.cloudkms.cryptoKeyEncrypterDecrypter) für den Schlüssel zuweisen.
Wenn Sie nicht möchten, dass eine Ressource Zugriff auf einen Schlüssel hat, entfernen Sie die IAM-Bindung für diesen Schlüssel. Sie können diese Bindung entfernen, indem Sie den Befehl gcloud kms keys remove-iam-policy-binding ausführen.
Es kann mehrere Stunden dauern, bis die Rollenänderung vollständig umgesetzt ist.
Verhalten bei der Schlüsselrotation
Google Cloud Observability rotiert den Verschlüsselungsschlüssel für temporäre Wiederherstellungsdateien nicht automatisch, wenn der mit der Google Cloud Organisation oder dem Ordner verknüpfte Cloud KMS-Schlüssel rotiert wird. Bereits vorhandene Wiederherstellungsdateien verwenden weiterhin die Schlüsselversion, mit der sie erstellt wurden. Neue Wiederherstellungsdateien verwenden die aktuelle Primärschlüsselversion.
Weitere Informationen finden Sie unter Schlüsselrotation.
Beschränkungen
Im Folgenden finden Sie bekannte Einschränkungen, wenn Sie Ihre Standardeinstellungen für Observability-Buckets so konfigurieren, dass sie eine CMEK-Einstellung haben.
Leistungseinbußen aufgrund nicht verfügbarer Schlüssel
Google Cloud Observability verwendet die Cloud KMS API, um auf Cloud KMS-Schlüssel und Cloud EKM-Schlüssel zuzugreifen. Beide Arten von Schlüsseln sind möglicherweise nicht mehr verfügbar.
Wenn ein Schlüssel nicht mehr verfügbar ist, geschieht Folgendes:
- Sie können keine gespeicherten Daten abfragen.
- In Google Cloud Observability werden die Daten der letzten drei Stunden gepuffert. Daten, die älter als dieses gleitende 3‑Stunden-Zeitfenster sind, werden möglicherweise verworfen.
- Für die dauerhafte Datenspeicherung muss ein Cloud KMS-Schlüssel innerhalb von 48 Stunden nach dem Schreiben der Daten für mindestens 24 aufeinanderfolgende Stunden verfügbar und zugänglich sein. Wenn der Cloud KMS-Schlüssel in diesem Zeitraum nicht verfügbar und zugänglich ist, werden die Daten möglicherweise nicht vollständig im Speicher beibehalten und können verworfen werden.