Définir des valeurs par défaut pour les buckets d'observabilité

Ce document explique comment configurer une organisation, un dossier ou un projet afin que vos buckets d'observabilité répondent à vos exigences de conformité ou réglementaires.

• Pour les organisations, les dossiers et les projets, les paramètres par défaut des buckets d'observabilité vous permettent de configurer les éléments suivants :

  • Un emplacement de stockage par défaut.
  • Une clé Cloud Key Management Service par défaut pour chaque emplacement.

  Les descendants de la hiérarchie des ressources utilisent automatiquement ces paramètres, à l'exception de ceux pour lesquels vous avez configuré des paramètres par défaut.

  Les paramètres par défaut des buckets d'observabilité ne s'appliquent qu'aux nouvelles ressources, et non à celles existantes.

Les paramètres par défaut des buckets d'observabilité ne s'appliquent pas aux buckets de journaux, qui stockent les données de journaux. Pour savoir comment définir l'emplacement par défaut ou exiger l'utilisation de CMEK pour les buckets de journaux, consultez Configurer les paramètres de ressources par défaut pour Cloud Logging.

Afficher les paramètres par défaut des buckets d'observabilité

Cette section explique comment afficher les paramètres par défaut des buckets d'observabilité pour une ressource, qui peut être une organisation, un dossier ou un projet.

Pour récupérer les paramètres par défaut des buckets d'observabilité, vous devez exécuter plusieurs commandes d'API. La première commande renvoie l'emplacement de stockage par défaut. La deuxième commande renvoie la clé Cloud KMS pour cet emplacement. Ces instructions concernent APIs Explorer, qui vous permet d'exécuter des commandes d'API à partir d'une page de documentation. Toutefois, vous pouvez également exécuter une commande curl.

Les commandes décrites dans cette section concernent une ressource spécifique. Les réponses de ces commandes sont limitées aux valeurs configurées par l'utilisateur pour cette ressource. Ces commandes ne renvoient pas les paramètres que la ressource peut utiliser, mais qui sont configurés pour un ancêtre.

Avant de commencer

Pour obtenir l'autorisation nécessaire pour afficher les paramètres par défaut des buckets d'observabilité pour une organisation, un dossier ou un projet, demandez à votre administrateur de vous accorder le rôle IAM Lecteur Observabilité (roles/observability.viewer) sur l'organisation, le dossier ou le projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient l'autorisation observability.settings.get, qui est nécessaire pour afficher les paramètres par défaut des buckets d'observabilité pour une organisation, un dossier ou un projet.

Vous pouvez également obtenir cette autorisation avec des rôles personnalisés ou d'autres rôles prédéfinis.

Obtenir l'emplacement de stockage par défaut d'une ressource

Pour obtenir l'emplacement de stockage par défaut d'une ressource, vous envoyez une commande à un point de terminaison spécifique à la ressource et définissez l'emplacement de cette commande sur global. Les données de réponse incluent l'emplacement de stockage par défaut et le nom d'un compte de service. Si vous avez besoin de CMEK pour la ressource, ce compte de service est utilisé pour récupérer les clés Cloud KMS.

Obtenir la clé Cloud KMS par défaut pour une ressource et un emplacement

Les clés Cloud KMS sont des ressources régionales. Elles ne peuvent être utilisées que pour chiffrer ou déchiffrer les données stockées au même emplacement que la clé. Pour chaque emplacement compatible avec les buckets d'observabilité, et pour chaque organisation, dossier ou projet, vous pouvez configurer les paramètres par défaut des buckets d'observabilité avec une clé Cloud KMS.

Cette section explique comment obtenir la clé Cloud KMS par défaut pour une ressource et un emplacement.

Définir les paramètres par défaut des buckets d'observabilité

Cette section explique comment configurer les paramètres par défaut des buckets d'observabilité pour une ressource (organisation, dossier ou projet).

Si vous prévoyez d'exiger CMEK pour une ressource et un emplacement, configurez les paramètres par défaut pour les buckets d'observabilité pour cette paire avant de définir l'emplacement de stockage par défaut. Lorsque vous configurez des paramètres par défaut pour une ressource et un emplacement, vous spécifiez la clé Cloud KMS à utiliser.

Ces instructions concernent l'APIs Explorer, qui vous permet d'émettre des commandes d'API à partir d'une page de documentation. Toutefois, vous pouvez également émettre une commande curl.

Exemples de configurations

Cette section répertorie les cas d'utilisation courants.

Exiger que les nouveaux buckets se trouvent dans un emplacement spécifique

Pour exiger que les nouveaux buckets d'observabilité créés par le système dans votre organisation se trouvent dans l'emplacement us, définissez l'emplacement de stockage par défaut de votre organisation sur us.

Pour remplacer les paramètres au niveau de l'organisation et exiger que les nouveaux buckets d'observabilité créés par le système dans le dossier enfant nommé my-eu-projects se trouvent dans la région eu, définissez l'emplacement de stockage par défaut du dossier my-eu-projects sur eu.

Exiger que les nouveaux buckets se trouvent dans un emplacement spécifique et utilisent des clés CMEK

Pour exiger que tous les nouveaux buckets d'observabilité créés par le système dans votre organisation se trouvent dans l'emplacement us et utilisent CMEK, procédez comme suit :

1. Configurez les paramètres par défaut des buckets d'observabilité pour votre organisation et l'emplacement us afin de spécifier une clé Cloud KMS.

2. Définissez us comme emplacement de stockage par défaut pour votre organisation.

Avant de commencer

Si vous prévoyez uniquement de définir l'emplacement de stockage par défaut, vous pouvez ignorer la configuration de Google Cloud CLI et vous n'avez besoin d'aucun rôle Cloud KMS.

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Pour obtenir les autorisations nécessaires pour définir les paramètres par défaut des buckets d'observabilité pour une organisation, un dossier ou un projet, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation, le dossier ou le projet :

   • Éditeur Observabilité (roles/observability.editor)
   • Administrateur Cloud KMS (roles/cloudkms.admin)

   Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

   Ces rôles prédéfinis contiennent les autorisations requises pour définir les paramètres par défaut des buckets d'observabilité pour une organisation, un dossier ou un projet. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

   Autorisations requises

   Les autorisations suivantes sont requises pour définir les paramètres par défaut des buckets d'observabilité pour une organisation, un dossier ou un projet :

   • observability.settings.get
   • observability.settings.update
   • cloudkms.cryptoKeys.getIamPolicy
   • cloudkms.cryptoKeys.setIamPolicy

   Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

3. Si vous prévoyez d'exiger l'utilisation de CMEK, assurez-vous de disposer d'une clé Cloud KMS à l'emplacement requis. Si nécessaire, créez un trousseau de clés Cloud KMS et une clé Cloud KMS.

4. Déterminez la ressource dont vous prévoyez de mettre à jour les paramètres par défaut pour les buckets d'observabilité. Cette ressource peut être une organisation, un dossier ou un projet.

   Si vous configurez des paramètres par défaut pour une organisation ou un dossier, ils s'appliquent à tous les descendants de cette organisation ou de ce dossier. Si vous configurez des paramètres par défaut pour les buckets d'observabilité d'un projet, ils ne s'appliquent qu'à ce projet.

Accorder à un compte de service de ressource l'accès à une clé

Pour la ressource dont vous prévoyez de configurer les paramètres par défaut, attribuez un rôle à son compte de service :

1. Identifiez la clé Cloud KMS que vous souhaitez utiliser pour le chiffrement et le déchiffrement.

   Les clés Cloud KMS sont régionales. Par exemple, si vous prévoyez d'exiger que les nouveaux buckets d'observabilité créés par le système se trouvent dans l'emplacement us, vous avez besoin d'une clé Cloud KMS dans l'emplacement us.

2. Identifiez le compte de service de votre ressource.

   Par exemple, si vous souhaitez que tous les nouveaux buckets d'observabilité créés par le système dans votre organisation se trouvent dans l'emplacement us et utilisent CMEK, appelez getSettings à l'emplacement global et définissez le paramètre de chemin d'accès sur une organisation. Les données de réponse listent le compte de service de l'organisation :

   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

3. Accordez au compte de service que vous avez identifié à l'étape précédente le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS (roles.cloudkms.cryptoKeyEncrypterDecrypter) pour la clé Cloud KMS que vous souhaitez utiliser pour chiffrer et déchiffrer les données.

   Cette liaison de rôle concerne une clé Cloud KMS spécifique.

   CLI gcloud

   Exécutez la commande gcloud kms keys add-iam-policy-binding :

   gcloud kms keys add-iam-policy-binding KMS_KEY_NAME \
   --project=KMS_PROJECT_ID \
   --member=serviceAccount:SERVICE_ACCT_NAME@gcp-sa-observability.iam.gserviceaccount.com \
   --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
   --location=LOCATION_ID \
   --keyring=KMS_KEY_RING
   

   Avant d'exécuter la commande précédente, effectuez les remplacements suivants :

   • KMS_KEY_NAME : nom de la clé.
   • KMS_PROJECT_ID : identifiant alphanumérique unique du projet Google Cloud qui exécute Cloud KMS. Il est composé du nom de votre projet Google Cloud et d'un numéro attribué de manière aléatoire. Pour savoir comment obtenir cet identifiant, consultez Identifier des projets.
   • SERVICE_ACCT_NAME : nom du compte de service de votre ressource, que vous avez identifié à l'étape précédente.
   • LOCATION_ID : emplacement de votre clé Cloud KMS.
   • KMS_KEY_RING : nom du trousseau de clés Cloud KMS.

   Console Google Cloud

   1. Dans la console Google Cloud , accédez à la page Gestion des clés.

      Accéder à Gestion des clés

   2. Sélectionnez le nom du trousseau de clés contenant la clé.

   3. Cochez la case correspondant à la clé.

      L'onglet Autorisations s'affiche.

   4. Dans la boîte de dialogue Ajouter des membres, indiquez l'adresse e-mail du compte de service Google Cloud Observability auquel vous accordez l'accès.

   5. Dans le menu Sélectionner un rôle, sélectionnez Chiffreur/Déchiffreur de CryptoKey Cloud KMS.

   6. Cliquez sur Ajouter.

Définir la clé Cloud KMS par défaut pour une ressource et un emplacement

À l'étape précédente, vous avez accordé au compte de service d'une ressource les autorisations permettant de chiffrer et de déchiffrer des données pour une clé Cloud KMS spécifique. Par exemple, vous avez peut-être accordé à un compte de service d'une organisation un rôle IAM lui permettant d'accéder à une clé Cloud KMS située dans la région us.

Dans cette étape, vous mettez à jour les paramètres par défaut des buckets d'observabilité avec les informations clés pour cette ressource et pour l'emplacement de la clé Cloud KMS. Par exemple, à cette étape, vous pouvez configurer les paramètres par défaut des buckets d'observabilité pour votre organisation et pour l'emplacement us sur la clé Cloud KMS qui se trouve également à l'emplacement us.

REST

1. Pour la ressource dont vous souhaitez définir les paramètres par défaut, sélectionnez le point de terminaison approprié, puis spécifiez le paramètre de chemin d'accès dans l'APIs Explorer :

   Organisation :

   • Point de terminaison de l'API : organizations.locations.updateSettings

   • Paramètre de chemin :

     organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings
     

   Dossier :

   • Point de terminaison de l'API : folders.locations.updateSettings

   • Paramètre de chemin :

     folders/FOLDER_ID/locations/LOCATION_ID/settings
     

   Projet :

   • Point de terminaison de l'API : projects.locations.updateSettings

   • Paramètre de chemin :

     projects/PROJECT_ID/locations/LOCATION_ID/settings
     

   Les variables des expressions précédentes ont la signification suivante :

   • ORGANIZATION_ID : identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez Obtenir l'ID de votre organisation.
   • FOLDER_ID : identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez Créer et gérer des dossiers.
   • PROJECT_ID : identifiant du projet.
   • LOCATION_ID : emplacement de votre clé Cloud KMS.

2. Définissez le champ updateMask comme suit :

   updateMask=kmsKeyName
   

3. Configurez le corps de la requête comme suit :

   {
     "kmsKeyName"="projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   }
   

   Avant de saisir les valeurs, effectuez les remplacements suivants :

   • KMS_PROJECT_ID : identifiant alphanumérique unique du projet Google Cloud qui exécute Cloud KMS. Il est composé du nom de votre projet Google Cloud et d'un numéro attribué de manière aléatoire. Pour savoir comment obtenir cet identifiant, consultez Identifier des projets.
   • LOCATION_ID : emplacement de votre clé Cloud KMS.
   • KMS_KEY_RING : nom du trousseau de clés Cloud KMS.
   • KMS_KEY_NAME : nom de la clé.

   La valeur de "kmsKeyName" correspond au nom complet de votre clé.

4. Cliquez sur Exécuter.

   Si l'opération réussit, la réponse est un objet Settings.

   Par exemple, supposons que vous exécutiez la commande updateSettings pour définir une clé Cloud KMS et que vous définissiez le paramètre de chemin d'accès sur organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings. La réponse est alors semblable à ce qui suit :

   name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   kms_key_name: "projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   

Définir l'emplacement de stockage par défaut pour une ressource

Cette étape explique comment définir un emplacement de stockage par défaut pour une ressource (organisation, dossier ou projet). Tous les descendants de la hiérarchie des ressources utilisent automatiquement l'emplacement de stockage par défaut, à l'exception de ceux pour lesquels vous avez configuré un emplacement de stockage par défaut.

Par exemple, si vous définissez l'emplacement de stockage par défaut d'une organisation sur us, les nouveaux buckets d'observabilité créés par le système dans cette organisation se trouveront à l'emplacement us. Si vous souhaitez qu'un dossier ou un projet dispose d'un emplacement de stockage par défaut différent, configurez les paramètres par défaut des buckets d'observabilité pour le dossier ou le projet.

Si vous souhaitez que les buckets d'observabilité créés par le système dans une ressource utilisent des CMEK, procédez comme suit avant de définir l'emplacement de stockage par défaut pour la ressource :

1. Attribuez au compte de service de la ressource le rôle IAM qui lui permet de chiffrer et de déchiffrer les données. Ce rôle est associé à une clé Cloud KMS spécifique, qui se trouve à un emplacement spécifique.
2. Configurez les paramètres par défaut des buckets d'observabilité pour l'emplacement de la ressource et de la clé avec les informations de la clé Cloud KMS.

REST

Pour définir l'emplacement de stockage par défaut de votre organisation, de votre dossier ou de votre projet, procédez comme suit :

1. Pour la ressource dont vous souhaitez définir les paramètres par défaut, sélectionnez le point de terminaison approprié, puis spécifiez le paramètre de chemin d'accès dans l'APIs Explorer :

   Organisation :

   • Point de terminaison de l'API : organizations.locations.updateSettings

   • Paramètre de chemin :

     organizations/ORGANIZATION_ID/locations/global/settings
     

   Dossier :

   • Point de terminaison de l'API : folders.locations.updateSettings

   • Paramètre de chemin :

     folders/FOLDER_ID/locations/global/settings
     

   Projet :

   • Point de terminaison de l'API : projects.locations.updateSettings

   • Paramètre de chemin :

     projects/PROJECT_ID/locations/global/settings
     

   Les variables des expressions précédentes ont la signification suivante :

   • ORGANIZATION_ID : identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez Obtenir l'ID de votre organisation.
   • FOLDER_ID : identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez Créer et gérer des dossiers.
   • PROJECT_ID : identifiant du projet.

2. Définissez le champ updateMask comme suit :

   updateMask=defaultStorageLocation
   

3. Configurez le corps de la requête comme suit :

   {
     "defaultStorageLocation"="DEFAULT_STORAGE_LOCATION"
   }
   

   Remplacez DEFAULT_STORAGE_LOCATION par un emplacement de bucket d'observabilité compatible.

   Par exemple, supposons que vous souhaitiez que tous les nouveaux buckets d'observabilité créés par le système dans votre organisation se trouvent dans l'emplacement us et utilisent CMEK. Lors des étapes précédentes, vous avez attribué au compte de service de l'organisation un rôle IAM lui permettant de chiffrer et de déchiffrer des données à l'aide d'une clé Cloud KMS située dans us. Pour terminer la configuration, définissez DEFAULT_STORAGE_LOCATION sur us.

4. Cliquez sur Exécuter.

   Si l'opération réussit, la réponse est un objet Settings.

   Par exemple, si vous exécutez une commande updateSettings et définissez le paramètre de chemin d'accès sur une organisation, puis définissez l'emplacement de stockage par défaut sur us, la réponse est semblable à ce qui suit :

   default_storage_location: "us"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

Modifier l'emplacement de stockage par défaut d'une ressource

Pour modifier l'emplacement de stockage par défaut d'une organisation, d'un dossier ou d'un projet, suivez la même procédure que pour définir l'emplacement de stockage par défaut.

Gérer vos clés Cloud KMS

Les sections suivantes expliquent comment modifier ou désactiver une clé Cloud KMS, ou révoquer l'accès à celle-ci.

Mettre à jour la clé Cloud KMS par défaut pour une ressource et un emplacement

Pour mettre à jour la clé Cloud KMS d'une ressource et d'un emplacement spécifiques, suivez la même procédure que lorsque vous définissez la clé Cloud KMS.

Supprimer la clé Cloud KMS par défaut pour une ressource et un emplacement

Pour annuler ou effacer la clé Cloud KMS d'une ressource et d'un emplacement spécifiques, suivez la même procédure que celle décrite dans Définir la clé Cloud KMS par défaut pour un emplacement. Toutefois, lorsque vous configurez le corps de la requête, définissez la valeur de la clé sur une chaîne vide.

{
  "kmsKeyName"=""
}

Si la ressource ne possède pas de clé Cloud KMS par défaut, le système recherche une clé Cloud KMS par défaut dans les ancêtres de la ressource :

• Si une clé Cloud KMS est trouvée, elle est utilisée pour chiffrer les données stockées dans le nouveau bucket d'observabilité.

• Si aucune clé Cloud KMS n'est trouvée, le nouveau bucket d'observabilité n'utilise pas CMEK.

Révoquer l'accès aux clés pour une ressource et un emplacement

Lorsque vous configurez les paramètres par défaut des buckets d'observabilité pour une ressource et un emplacement avec une clé Cloud KMS, vous devez attribuer le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS (roles.cloudkms.cryptoKeyEncrypterDecrypter) au compte de service de la ressource pour la clé.

Si vous ne souhaitez pas qu'une ressource ait accès à une clé, supprimez l'association IAM pour cette clé. Vous pouvez supprimer cette liaison en exécutant la commande gcloud kms keys remove-iam-policy-binding.

Il peut s'écouler plusieurs heures avant que le changement de rôle prenne pleinement effet.

Comportement de la rotation des clés

Google Cloud Observability n'effectue pas automatiquement la rotation de la clé de chiffrement pour les fichiers temporaires de reprise après sinistre lorsque la clé Cloud KMS associée à l'organisation ou au dossier Google Cloud est alternée. Les fichiers de récupération existants continuent à utiliser la version de clé avec laquelle ils ont été créés. Les nouveaux fichiers de reprise utilisent la version actuelle de la clé principale.

Pour en savoir plus, consultez Rotation des clés.

Limites

Voici les limites connues lorsque vous configurez vos paramètres par défaut pour les buckets d'observabilité afin qu'ils disposent d'un paramètre CMEK.

Dégradation due à l'indisponibilité de la clé

Google Cloud Observability utilise l'API Cloud KMS pour accéder aux clés Cloud KMS et aux clés Cloud EKM. Les deux types de clés peuvent devenir indisponibles.

Si une clé devient indisponible, les événements suivants se produisent :

• Vous ne pouvez pas interroger les données stockées.
• Google Cloud Observability met en mémoire tampon les trois dernières heures de données. Les données antérieures à cette période de trois heures glissantes peuvent être supprimées.
• Pour le stockage permanent des données, une clé Cloud KMS doit être disponible et accessible pendant au moins 24 heures consécutives au cours des 48 heures suivant l'écriture des données. Si la clé Cloud KMS n'est pas disponible ni accessible pendant cette période, il est possible que les données ne soient pas entièrement conservées dans le stockage et qu'elles soient supprimées.

Étapes suivantes

• Résoudre les problèmes liés aux buckets d'observabilité
• Gérer les buckets d'observabilité