Standardeinstellungen für Beobachtbarkeits-Buckets festlegen

In diesem Dokument wird beschrieben, wie Sie eine Organisation, einen Ordner oder ein Projekt so konfigurieren, dass Ihre Observability-Buckets Ihren Compliance- oder behördlichen Anforderungen entsprechen.

• Mit Standardeinstellungen für Observability-Buckets können Sie für Organisationen, Ordner und Projekte Folgendes konfigurieren:

  • Ein Standardspeicherort.
  • Für jeden Standort ein standardmäßiger Cloud Key Management Service-Schlüssel.

  Untergeordnete Elemente in der Ressourcenhierarchie verwenden diese Einstellungen automatisch, mit Ausnahme der untergeordneten Elemente, für die Sie Standardeinstellungen konfiguriert haben.

  Die Standardeinstellungen für Observability-Buckets gelten nur für neue Ressourcen, nicht für vorhandene Ressourcen.

Die Standardeinstellungen für Observability-Buckets gelten nicht für Log-Buckets, in denen Logdaten gespeichert werden. Informationen zum Festlegen des Standardspeicherorts oder zum Erzwingen von CMEK für Log-Buckets finden Sie unter Standardressourceneinstellungen für Cloud Logging konfigurieren.

Standardeinstellungen für Observability-Buckets ansehen

In diesem Abschnitt wird beschrieben, wie Sie die Standardeinstellungen für Observability-Buckets für eine Ressource (Organisation, Ordner oder Projekt) aufrufen können.

Um die Standardeinstellungen für Observability-Buckets abzurufen, müssen Sie mehrere API-Befehle ausführen. Der erste Befehl gibt den Standardspeicherort zurück. Der zweite Befehl gibt den Cloud KMS-Schlüssel für diesen Standort zurück. Diese Anleitung bezieht sich auf den APIs Explorer, mit dem Sie API-Befehle von einer Dokumentationsseite aus ausgeben können. Sie können aber auch den Befehl curl ausführen.

Die in diesem Abschnitt beschriebenen Befehle beziehen sich auf eine bestimmte Ressource. Die Antworten dieser Befehle sind auf die vom Nutzer konfigurierten Werte für diese Ressource beschränkt. Mit diesen Befehlen werden keine Einstellungen zurückgegeben, die von der Ressource verwendet werden könnten, aber für ein übergeordnetes Element konfiguriert sind.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Observability Viewer (roles/observability.viewer) für die Organisation, den Ordner oder das Projekt zuzuweisen, um die Berechtigung zu erhalten, die Sie zum Aufrufen der Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigung observability.settings.get, die zum Aufrufen der Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt erforderlich ist.

Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Standardspeicherort für eine Ressource abrufen

Wenn Sie den Standardspeicherort für eine Ressource abrufen möchten, senden Sie einen Befehl an einen ressourcenspezifischen Endpunkt und legen den Speicherort dieses Befehls auf global fest. Die Antwortdaten enthalten den Standardspeicherort und den Namen eines Dienstkontos. Wenn Sie CMEK für die Ressource benötigen, wird dieses Dienstkonto zum Abrufen von Cloud KMS-Schlüsseln verwendet.

Standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort abrufen

Cloud KMS-Schlüssel sind regionale Ressourcen. Sie können nur zum Verschlüsseln oder Entschlüsseln von Daten verwendet werden, die am selben Ort wie der Schlüssel gespeichert sind. Für jeden von Observability-Buckets unterstützten Standort und für jede Organisation, jeden Ordner oder jedes Projekt können Sie die Standardeinstellungen für Observability-Buckets mit einem Cloud KMS-Schlüssel konfigurieren.

In diesem Abschnitt wird beschrieben, wie Sie den standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort abrufen.

Standardeinstellungen für Observability-Buckets festlegen

In diesem Abschnitt wird beschrieben, wie Sie Standardeinstellungen für Observability-Buckets für eine Ressource konfigurieren, die eine Organisation, ein Ordner oder ein Projekt ist.

Wenn Sie CMEK für eine Ressource und einen Standort benötigen, konfigurieren Sie die Standardeinstellungen für Observability-Buckets für dieses Paar, bevor Sie den Standardspeicherort festlegen. Wenn Sie Standardeinstellungen für eine Ressource und einen Standort konfigurieren, geben Sie den zu verwendenden Cloud KMS-Schlüssel an.

Diese Anleitung bezieht sich auf den APIs Explorer, mit dem Sie API-Befehle über eine Dokumentationsseite ausgeben können. Sie können aber auch einen curl-Befehl ausführen.

Beispielkonfigurationen

In diesem Abschnitt werden gängige Anwendungsfälle aufgeführt.

Neue Buckets müssen sich an einem bestimmten Ort befinden

Wenn Sie festlegen möchten, dass neue, vom System erstellte Observability-Buckets in Ihrer Organisation am Standort us erstellt werden, legen Sie den Standardspeicherort für Ihre Organisation auf us fest.

Wenn Sie die Einstellungen auf Organisationsebene überschreiben und festlegen möchten, dass neue, vom System erstellte Observability-Buckets im untergeordneten Ordner mit dem Namen my-eu-projects in der Region eu sein müssen, legen Sie den Standardspeicherort für den Ordner my-eu-projects auf eu fest.

Festlegen, dass neue Buckets sich an einem bestimmten Standort befinden und CMEK verwenden müssen

So legen Sie fest, dass alle neuen, vom System erstellten Observability-Buckets in Ihrer Organisation sich am Standort us befinden und CMEK verwenden müssen:

1. Konfigurieren Sie die Standardeinstellungen für Observability-Buckets für Ihre Organisation und den Standort us, um einen Cloud KMS-Schlüssel anzugeben.

2. Legen Sie us als Standardspeicherort für Ihre Organisation fest.

Hinweise

Wenn Sie nur den Standardspeicherort festlegen möchten, können Sie die Einrichtung der Google Cloud CLI überspringen und benötigen keine Cloud KMS-Rollen.

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation, den Ordner oder das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Festlegen der Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt benötigen:

   • Observability Editor (roles/observability.editor)
   • Cloud KMS-Administrator (roles/cloudkms.admin)

   Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

   Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Festlegen der Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

   Erforderliche Berechtigungen

   Die folgenden Berechtigungen sind erforderlich, um die Standardeinstellungen für Observability-Buckets für eine Organisation, einen Ordner oder ein Projekt festzulegen:

   • observability.settings.get
   • observability.settings.update
   • cloudkms.cryptoKeys.getIamPolicy
   • cloudkms.cryptoKeys.setIamPolicy

   Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

3. Wenn Sie die Verwendung von CMEK erzwingen möchten, müssen Sie einen Cloud KMS-Schlüssel am erforderlichen Speicherort haben. Erstellen Sie bei Bedarf einen Cloud KMS-Schlüsselbund und einen Cloud KMS-Schlüssel.

4. Bestimmen Sie die Ressource, deren Standardeinstellungen für Observability-Buckets Sie aktualisieren möchten. Diese Ressource kann eine Organisation, ein Ordner oder ein Projekt sein.

   Wenn Sie Standardeinstellungen für eine Organisation oder einen Ordner konfigurieren, gelten sie für alle untergeordneten Elemente dieser Organisation oder dieses Ordners. Wenn Sie Standardeinstellungen für Observability-Buckets für ein Projekt konfigurieren, gelten sie nur für dieses Projekt.

Dienstkonto der Ressource Zugriff auf einen Schlüssel gewähren

Weisen Sie dem Dienstkonto der Ressource, deren Standardeinstellungen Sie konfigurieren möchten, eine Rolle zu:

1. Ermitteln Sie den Cloud KMS-Schlüssel, den Sie für die Verschlüsselung und Entschlüsselung verwenden möchten.

   Cloud KMS-Schlüssel sind regional. Wenn Sie beispielsweise festlegen möchten, dass neue, vom System erstellte Observability-Buckets sich am Standort us befinden müssen, benötigen Sie einen Cloud KMS-Schlüssel am Standort us.

2. Identifizieren Sie das Dienstkonto für Ihre Ressource.

   Wenn Sie beispielsweise möchten, dass alle neuen, vom System erstellten Observability-Buckets in Ihrer Organisation sich am Standort us befinden und CMEK verwenden, führen Sie einen getSettings-Aufruf für den Standort global aus und legen Sie den Pfadparameter auf eine Organisation fest. In den Antwortdaten wird das Dienstkonto der Organisation aufgeführt:

   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

3. Weisen Sie dem Dienstkonto, das Sie im vorherigen Schritt ermittelt haben, die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles.cloudkms.cryptoKeyEncrypterDecrypter) für den Cloud KMS-Schlüssel zu, den Sie zum Verschlüsseln und Entschlüsseln von Daten verwenden möchten.

   Diese Rollenbindung gilt für einen bestimmten Cloud KMS-Schlüssel.

   gcloud-CLI

   Zum Abrufen der aktuellen Richtlinie führen Sie den Befehl gcloud kms keys add-iam-policy-binding aus:

   gcloud kms keys add-iam-policy-binding KMS_KEY_NAME \
   --project=KMS_PROJECT_ID \
   --member=serviceAccount:SERVICE_ACCT_NAME@gcp-sa-observability.iam.gserviceaccount.com \
   --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
   --location=LOCATION_ID \
   --keyring=KMS_KEY_RING
   

   Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:

   • KMS_KEY_NAME: der Name des Schlüssels
   • KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung aus dem Namen Ihres Google Cloud -Projekts und einer zufällig zugewiesenen Nummer des Google Cloud -Projekts, in dem Cloud KMS ausgeführt wird. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.
   • SERVICE_ACCT_NAME: Der Name des Dienstkontos Ihrer Ressource, das Sie im vorherigen Schritt ermittelt haben.
   • LOCATION_ID: Der Speicherort Ihres Cloud KMS-Schlüssels.
   • KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.

   Google Cloud Console

   1. Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

      Zu „Schlüsselverwaltung“

   2. Wählen Sie den Namen des Schlüsselbunds aus, der den Schlüssel enthält.

   3. Klicken Sie das Kästchen für den Schlüssel an.

      Der Tab Berechtigungen wird verfügbar.

   4. Geben Sie im Dialogfeld Mitglieder hinzufügen die E-Mail-Adresse des Google Cloud Observability-Dienstkontos an, auf das Sie Zugriff gewähren.

   5. Wählen Sie im Menü Rolle auswählen die Option Cloud KMS CryptoKey Verschlüsseler/Entschlüsseler aus.

   6. Klicken Sie auf Hinzufügen.

Standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort festlegen

Im vorherigen Schritt haben Sie dem Dienstkonto einer Ressource die Berechtigungen zum Verschlüsseln und Entschlüsseln von Daten für einen bestimmten Cloud KMS-Schlüssel erteilt. Sie haben beispielsweise dem Dienstkonto einer Organisation eine IAM-Rolle zugewiesen, mit der es auf einen Cloud KMS-Schlüssel am Standort us zugreifen kann.

In diesem Schritt aktualisieren Sie für diese Ressource und für den Standort des Cloud KMS-Schlüssels die Standardeinstellungen für Observability-Buckets mit den Schlüsselinformationen. In diesem Schritt können Sie beispielsweise die Standardeinstellungen für Observability-Buckets für Ihre Organisation und für den Standort us auf den Cloud KMS-Schlüssel konfigurieren, der sich ebenfalls am Standort us befindet.

REST

1. Wählen Sie für die Ressource, deren Standardeinstellungen Sie festlegen möchten, den entsprechenden Endpunkt aus und geben Sie dann im APIs Explorer den Pfadparameter an:

   Organisation:

   • API-Endpunkt: organizations.locations.updateSettings

   • Pfadparameter:

     organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings
     

   Ordner:

   • API-Endpunkt: folders.locations.updateSettings

   • Pfadparameter:

     folders/FOLDER_ID/locations/LOCATION_ID/settings
     

   Projekt:

   • API-Endpunkt: projects.locations.updateSettings

   • Pfadparameter:

     projects/PROJECT_ID/locations/LOCATION_ID/settings
     

   Die Variablen in den vorherigen Ausdrücken haben die folgende Bedeutung:

   • ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
   • FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
   • PROJECT_ID: Die Kennung des Projekts.
   • LOCATION_ID: Der Speicherort Ihres Cloud KMS-Schlüssels.

2. Legen Sie das Feld updateMask so fest:

   updateMask=kmsKeyName
   

3. Konfigurieren Sie den Anfragetext so:

   {
     "kmsKeyName"="projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   }
   

   Ersetzen Sie vor der Eingabe der Werte die folgenden Platzhalter:

   • KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung aus dem Namen Ihres Google Cloud -Projekts und einer zufällig zugewiesenen Nummer des Google Cloud -Projekts, in dem Cloud KMS ausgeführt wird. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.
   • LOCATION_ID: Der Speicherort Ihres Cloud KMS-Schlüssels.
   • KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
   • KMS_KEY_NAME: der Name des Schlüssels

   Der Wert von "kmsKeyName" ist der vollständig qualifizierte Name Ihres Schlüssels.

4. Klicken Sie auf Ausführen.

   Wenn der Vorgang erfolgreich abgeschlossen wurde, ist die Antwort ein Settings-Objekt.

   Angenommen, Sie führen den Befehl updateSettings aus, um einen Cloud KMS-Schlüssel festzulegen, und Sie legen den Pfadparameter auf organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings fest. Die Antwort sieht dann in etwa so aus:

   name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   kms_key_name: "projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   

Standardspeicherort für eine Ressource festlegen

In diesem Schritt wird beschrieben, wie Sie einen Standardspeicherort für eine Ressource festlegen, z. B. eine Organisation, einen Ordner oder ein Projekt. Alle untergeordneten Elemente in der Ressourcenhierarchie verwenden automatisch den Standardspeicherort, mit Ausnahme der untergeordneten Elemente, für die Sie einen Standardspeicherort konfiguriert haben.

Wenn Sie beispielsweise den Standardspeicherort für eine Organisation auf den Speicherort us festlegen, befinden sich neue, vom System erstellte Observability-Buckets in dieser Organisation am Speicherort us. Wenn Sie für einen Ordner oder ein Projekt einen anderen Standardspeicherort festlegen möchten, konfigurieren Sie die Standardeinstellungen für Observability-Buckets für den Ordner oder das Projekt.

Wenn die vom System erstellten Observability-Buckets in einer Ressource CMEK verwenden sollen, führen Sie die folgenden Schritte aus, bevor Sie den Standardspeicherort für die Ressource festlegen:

1. Weisen Sie dem Dienstkonto der Ressource die IAM-Rolle zu, mit der das Dienstkonto Daten verschlüsseln und entschlüsseln kann. Diese Rolle gilt für einen bestimmten Cloud KMS-Schlüssel, der sich an einem bestimmten Speicherort befindet.
2. Konfigurieren Sie die Standardeinstellungen für Observability-Buckets für den Ressourcen- und Schlüsselspeicherort mit den Cloud KMS-Schlüsselinformationen.

REST

So legen Sie den Standardspeicherort für Ihre Organisation, Ihren Ordner oder Ihr Projekt fest:

1. Wählen Sie für die Ressource, deren Standardeinstellungen Sie festlegen möchten, den entsprechenden Endpunkt aus und geben Sie dann im APIs Explorer den Pfadparameter an:

   Organisation:

   • API-Endpunkt: organizations.locations.updateSettings

   • Pfadparameter:

     organizations/ORGANIZATION_ID/locations/global/settings
     

   Ordner:

   • API-Endpunkt: folders.locations.updateSettings

   • Pfadparameter:

     folders/FOLDER_ID/locations/global/settings
     

   Projekt:

   • API-Endpunkt: projects.locations.updateSettings

   • Pfadparameter:

     projects/PROJECT_ID/locations/global/settings
     

   Die Variablen in den vorherigen Ausdrücken haben die folgende Bedeutung:

   • ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
   • FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
   • PROJECT_ID: Die Kennung des Projekts.

2. Legen Sie das Feld updateMask so fest:

   updateMask=defaultStorageLocation
   

3. Konfigurieren Sie den Anfragetext so:

   {
     "defaultStorageLocation"="DEFAULT_STORAGE_LOCATION"
   }
   

   Ersetzen Sie DEFAULT_STORAGE_LOCATION durch einen unterstützten Bucket-Speicherort für die Observability.

   Angenommen, Sie möchten, dass alle neuen, vom System erstellten Observability-Buckets in Ihrer Organisation sich am Standort us befinden und CMEK verwenden. In den vorherigen Schritten haben Sie dem Dienstkonto der Organisation eine IAM-Rolle zugewiesen, mit der es Daten mit einem Cloud KMS-Schlüssel am Speicherort us verschlüsseln und entschlüsseln kann. Sie schließen die Konfiguration ab, indem Sie DEFAULT_STORAGE_LOCATION auf us festlegen.

4. Klicken Sie auf Ausführen.

   Wenn der Vorgang erfolgreich abgeschlossen wurde, ist die Antwort ein Settings-Objekt.

   Wenn Sie beispielsweise den Befehl „am updateSettings“ ausgeben, den Parameter „path“ auf eine Organisation festlegen und den Standardspeicherort auf us festlegen, sieht die Antwort in etwa so aus:

   default_storage_location: "us"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

Standardspeicherort für eine Ressource aktualisieren

Wenn Sie den Standardspeicherort für eine Organisation, einen Ordner oder ein Projekt aktualisieren möchten, folgen Sie derselben Vorgehensweise wie beim Festlegen des Standardspeicherorts.

Cloud KMS-Schlüssel verwalten

In den folgenden Abschnitten wird beschrieben, wie Sie einen Cloud KMS-Schlüssel ändern, deaktivieren oder den Zugriff darauf widerrufen.

Standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort aktualisieren

Wenn Sie den Cloud KMS-Schlüssel für eine bestimmte Ressource und einen bestimmten Standort aktualisieren möchten, folgen Sie derselben Vorgehensweise wie beim Festlegen des Cloud KMS-Schlüssels.

Standardmäßigen Cloud KMS-Schlüssel für eine Ressource und einen Standort aufheben

Wenn Sie den Cloud KMS-Schlüssel für eine bestimmte Ressource und einen bestimmten Standort aufheben oder löschen möchten, folgen Sie derselben Vorgehensweise wie unter Cloud KMS-Standardschlüssel für einen Standort festlegen beschrieben. Wenn Sie den Anfragetext konfigurieren, legen Sie den Wert des Schlüssels auf einen leeren String fest.

{
  "kmsKeyName"=""
}

Wenn die Ressource keinen Standard-Cloud KMS-Schlüssel hat, sucht das System in den übergeordneten Elementen der Ressource nach einem Standard-Cloud KMS-Schlüssel:

• Wenn ein Cloud KMS-Schlüssel gefunden wird, wird dieser Schlüssel zum Verschlüsseln der Daten verwendet, die im neuen Observability-Bucket gespeichert sind.

• Wenn ein Cloud KMS-Schlüssel nicht gefunden wird, wird für den neuen Observability-Bucket keine CMEK verwendet.

Schlüsselzugriff für eine Ressource und einen Standort widerrufen

Wenn Sie die Standardeinstellungen für Observability-Buckets für eine Ressource und einen Standort mit einem Cloud KMS-Schlüssel konfigurieren, müssen Sie dem Dienstkonto der Ressource die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler (roles.cloudkms.cryptoKeyEncrypterDecrypter) für den Schlüssel zuweisen.

Wenn Sie nicht möchten, dass eine Ressource Zugriff auf einen Schlüssel hat, entfernen Sie die IAM-Bindung für diesen Schlüssel. Sie können diese Bindung entfernen, indem Sie den Befehl gcloud kms keys remove-iam-policy-binding ausführen.

Es kann mehrere Stunden dauern, bis die Rollenänderung vollständig umgesetzt ist.

Verhalten bei der Schlüsselrotation

Google Cloud Observability rotiert den Verschlüsselungsschlüssel für temporäre Wiederherstellungsdateien nicht automatisch, wenn der mit der Google Cloud -Organisation oder dem Google Cloud -Ordner verknüpfte Cloud KMS-Schlüssel rotiert wird. Bereits vorhandene Wiederherstellungsdateien verwenden weiterhin die Schlüsselversion, mit der sie erstellt wurden. Neue Wiederherstellungsdateien verwenden die aktuelle Primärschlüsselversion.

Weitere Informationen finden Sie unter Schlüsselrotation.

Beschränkungen

Im Folgenden finden Sie bekannte Einschränkungen, wenn Sie Ihre Standardeinstellungen für Observability-Buckets so konfigurieren, dass sie eine CMEK-Einstellung haben.

Leistungseinbußen aufgrund nicht verfügbarer Schlüssel

Google Cloud Observability verwendet die Cloud KMS API, um auf Cloud KMS-Schlüssel und Cloud EKM-Schlüssel zuzugreifen. Beide Arten von Schlüsseln sind möglicherweise nicht mehr verfügbar.

Wenn ein Schlüssel nicht mehr verfügbar ist, geschieht Folgendes:

• Sie können keine gespeicherten Daten abfragen.
• In Google Cloud Observability werden die Daten der letzten drei Stunden gepuffert. Daten, die älter als dieses gleitende 3‑Stunden-Zeitfenster sind, werden möglicherweise verworfen.
• Für die dauerhafte Datenspeicherung muss ein Cloud KMS-Schlüssel innerhalb von 48 Stunden nach dem Schreiben der Daten für mindestens 24 aufeinanderfolgende Stunden verfügbar und zugänglich sein. Wenn der Cloud KMS-Schlüssel in diesem Zeitraum nicht verfügbar und zugänglich ist, werden die Daten möglicherweise nicht vollständig im Speicher beibehalten und können verworfen werden.

Nächste Schritte

• Probleme mit Beobachtbarkeits-Buckets beheben
• Observability-Buckets verwalten