הגדרת ברירות מחדל לקטגוריות של נתונים שניתנים לצפייה

במאמר הזה מוסבר איך להגדיר ארגון, תיקייה או פרויקט כך שמאגרי המידע של כלי ה-Observability יעמדו בדרישות התאימות או הרגולציה שלכם.

  • בארגונים, בתיקיות ובפרויקטים, הגדרות ברירת המחדל של מאגרי נתונים של יכולת התבוננות מאפשרות לכם להגדיר את הפרטים הבאים:

    • מיקום אחסון שמוגדר כברירת מחדל.
    • לכל מיקום, מפתח ברירת מחדל של Cloud Key Management Service.

    הצאצאים בהיררכיית המשאבים משתמשים בהגדרות האלה באופן אוטומטי, למעט צאצאים שהגדרתם להם הגדרות ברירת מחדל.

    הגדרות ברירת המחדל של דליים של נתונים שניתן לצפות בהם חלות רק על משאבים חדשים, ולא על משאבים קיימים.

הגדרות ברירת המחדל של מאגרי נתונים של נתונים שניתנים לצפייה לא חלות על מאגרי נתונים של יומנים, שבהם מאוחסנים נתוני יומנים. במאמר הגדרת הגדרות ברירת מחדל של משאבים ל-Cloud Logging מוסבר איך להגדיר את מיקום ברירת המחדל או לדרוש CMEK לקטגוריות של יומנים.

הצגת הגדרות ברירת המחדל של קטגוריות של נתונים שניתן לצפות בהם

בקטע הזה מוסבר איך אפשר לראות את הגדרות ברירת המחדל של מאגרי נתונים של נתוני Observability עבור משאב, שהוא ארגון, תיקייה או פרויקט.

כדי לאחזר את הגדרות ברירת המחדל של קטגוריות הנתונים של יכולת הצפייה, צריך להנפיק כמה פקודות API. הפקודה הראשונה מחזירה את מיקום האחסון שמוגדר כברירת מחדל. הפקודה השנייה מחזירה את מפתח Cloud KMS למיקום הזה. ההוראות האלה מיועדות ל-APIs Explorer, שמאפשר להנפיק פקודות API מדף תיעוד. אבל אפשר גם להשתמש בפקודה curl.

הפקודות שמתוארות בקטע הזה מיועדות למשאב ספציפי. התשובות של הפקודות האלה מוגבלות לערכים שהמשתמש הגדיר למשאב הזה. הפקודות האלה לא מחזירות הגדרות שהמשאב עשוי להשתמש בהן, אבל הן מוגדרות עבור משאב אב.

לפני שמתחילים

כדי לקבל את ההרשאה שדרושה להצגת הגדרות ברירת המחדל של קטגוריות ניראות (observability) בארגון, בתיקייה או בפרויקט, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Observability Viewer (roles/observability.viewer) בארגון, בתיקייה או בפרויקט. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקיד המוגדר מראש הזה מכיל את ההרשאה observability.settings.get, שנדרשת כדי להציג את הגדרות ברירת המחדל של קטגוריות observability בארגון, בתיקייה או בפרויקט.

יכול להיות שתוכלו לקבל את ההרשאה הזו גם בתפקידים בהתאמה אישית או בתפקידים אחרים שמוגדרים מראש.

איך מאחזרים את מיקום האחסון שמוגדר כברירת מחדל למשאב

כדי לקבל את מיקום האחסון שמוגדר כברירת מחדל למשאב, שולחים פקודה לנקודת קצה ספציפית למשאב ומגדירים את המיקום של הפקודה ל-global. נתוני התגובה כוללים את מיקום האחסון שמוגדר כברירת מחדל ואת השם של חשבון שירות. אם נדרש CMEK למשאב, חשבון השירות הזה משמש לאחזור מפתחות Cloud KMS.

REST

  1. כדי להציג את הגדרות ברירת המחדל של משאב מסוים, בוחרים את נקודת הקצה המתאימה ואז מציינים את פרמטר הנתיב ב-APIs Explorer:

    ארגון:

    תיקייה:

    פרויקט:

    המשתנים בביטויים הקודמים הם בעלי המשמעות הבאה:

  2. לוחצים על Execute.

    אם הפעולה בוצעה ללא שגיאות, התגובה היא אובייקט Settings. אם השדה default_storage_location ריק, לא מוגדר מיקום אחסון כברירת מחדל.

    לדוגמה, אם מריצים את הפקודה getSettings ומגדירים את פרמטר הנתיב לארגון, התשובה תהיה דומה לאחת מהאפשרויות הבאות:

    • מיקום האחסון שמוגדר כברירת מחדל הוא "us":

      default_storage_location: "us"
service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com

    • לא הוגדר מיקום אחסון שמוגדר כברירת מחדל:

      service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com

אחזור של מפתח Cloud KMS שמשמש כברירת מחדל למשאב ולמיקום

מפתחות Cloud KMS הם משאבים אזוריים. אפשר להשתמש בהם רק כדי להצפין או לפענח נתונים שמאוחסנים באותו מיקום שבו מאוחסן המפתח. לכל מיקום שנתמך על ידי קטגוריות של נתוני יכולת צפייה, ולכל ארגון, תיקייה או פרויקט, אפשר להגדיר את הגדרות ברירת המחדל של קטגוריות של נתוני יכולת צפייה באמצעות מפתח Cloud KMS.

בקטע הזה מוסבר איך מקבלים את מפתח ברירת המחדל של Cloud KMS עבור משאב ומיקום.

REST

  1. כדי להציג את הגדרות ברירת המחדל של משאב מסוים, בוחרים את נקודת הקצה המתאימה ואז מציינים את פרמטר הנתיב ב-APIs Explorer:

    ארגון:

    תיקייה:

    פרויקט:

    המשתנים בביטויים הקודמים הם בעלי המשמעות הבאה:

    • ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את המזהה של הארגון מוסבר איך מקבלים את המזהה הזה.
    • FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.
    • PROJECT_ID: מזהה הפרויקט.
    • LOCATION_ID: המיקום שרוצים לראות את הגדרות ה-CMEK שלו.

  2. לוחצים על Execute.

    אם הפעולה בוצעה ללא שגיאות, התגובה היא אובייקט Settings.

    לדוגמה, אם מריצים את הפקודה getSettings ומגדירים את פרמטר הנתיב ל-organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings, התגובה תהיה דומה לאחת מהתגובות הבאות:

    • אם לא מוגדר מפתח Cloud KMS לארגון ולמיקום, בתגובה מופיע רק חשבון שירות:

      service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com

    • כשמגדירים את מפתח Cloud KMS לארגון ולמיקום, התגובה כוללת חשבון שירות ואת שם מפתח Cloud KMS:

      name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings"
service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
kms_key_name: "projects/my-kms-project/locations/LOCATION_ID/keyRings/my-key-ring/cryptoKeys/my-key"

הגדרת ברירת המחדל של קטגוריות נתונים של יכולת תצפית

בקטע הזה מוסבר איך להגדיר הגדרות ברירת מחדל לדלי נתונים של יכולת צפייה במשאב, שהוא ארגון, תיקייה או פרויקט.

אם אתם מתכננים לדרוש CMEK למשאב ולמיקום, אתם צריכים להגדיר את הגדרות ברירת המחדל של קטגוריות של נתונים שניתן לצפות בהם עבור הצמד הזה לפני שתגדירו את מיקום האחסון שמוגדר כברירת מחדל. כשמגדירים הגדרות ברירת מחדל למשאב ולמיקום, מציינים את מפתח Cloud KMS שבו רוצים להשתמש.

ההוראות האלה מיועדות לכלי APIs Explorer, שמאפשר להנפיק פקודות API מדף תיעוד. אבל אפשר גם להשתמש בפקודה curl.

הגדרות לדוגמה

בקטע הזה מפורטים תרחישים נפוצים לדוגמה.

דרישה שקטגוריות חדשות יהיו במיקום ספציפי

כדי לדרוש שקטגוריות חדשות של נתוני Observability שנוצרו על ידי המערכת בארגון שלכם יהיו במיקום us, צריך להגדיר את מיקום האחסון שמוגדר כברירת מחדל לארגון שלכם ל-us.

כדי לבטל את ההגדרות ברמת הארגון ולדרוש שמאגרי נתונים חדשים של יכולת צפייה שנוצרו על ידי המערכת בתיקיית הצאצא שנקראת my-eu-projects יהיו באזור eu, צריך להגדיר את מיקום האחסון שמוגדר כברירת מחדל לתיקייה my-eu-projects ל-eu.

דרישה שקטגוריות חדשות יהיו במיקום ספציפי וישתמשו ב-CMEK

כדי לדרוש שכל קטגוריות הנתונים החדשות של יכולת התצפית שנוצרו על ידי המערכת בארגון יהיו במיקום us וישתמשו ב-CMEK, צריך לבצע את הפעולות הבאות:

  1. מגדירים את הגדרות ברירת המחדל לקטגוריות של ניראות (observability) בארגון ובמיקום us כדי לציין מפתח Cloud KMS.

  2. הגדרת מיקום האחסון שמוגדר כברירת מחדל בארגון ל-us.

לפני שמתחילים

אם אתם מתכננים להגדיר רק את מיקום האחסון שמוגדר כברירת מחדל, אתם יכולים לדלג על ההגדרה של Google Cloud CLI ולא תצטרכו תפקידים ב-Cloud KMS.

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. כדי לקבל את ההרשאות שדרושות להגדרת ברירות המחדל של קטגוריות של נתונים שניתנים לצפייה בארגון, בתיקייה או בפרויקט, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון, בתיקייה או בפרויקט:

    להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

    התפקידים המוגדרים מראש האלה מכילים את ההרשאות שנדרשות להגדרת ברירת המחדל של קטגוריות של נתונים שניתן לצפות בהם בארגון, בתיקייה או בפרויקט. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

    ההרשאות הנדרשות

    כדי להגדיר את הגדרות ברירת המחדל של מאגרי נתונים של יכולת צפייה בארגון, בתיקייה או בפרויקט, נדרשות ההרשאות הבאות:

    • observability.settings.get
    • observability.settings.update
    • cloudkms.cryptoKeys.getIamPolicy
    • cloudkms.cryptoKeys.setIamPolicy

    יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

  3. אם אתם מתכננים לדרוש שימוש ב-CMEK, ודאו שיש לכם מפתח Cloud KMS במיקום הנדרש. אם צריך, יוצרים אוסף מפתחות של Cloud KMS ומפתח של Cloud KMS.

  4. קובעים את המשאב שרוצים לעדכן את הגדרות ברירת המחדל שלו לגבי מאגרי נתונים של יכולת תצפית. המשאב הזה יכול להיות ארגון, תיקייה או פרויקט.

    אם מגדירים הגדרות ברירת מחדל לארגון או לתיקייה, הן חלות על כל צאצאי הארגון או התיקייה. אם מגדירים הגדרות ברירת מחדל לדלי נתונים של יכולת התבוננות בפרויקט, ההגדרות חלות רק על הפרויקט הזה.

    5. הענקת גישה למפתח לחשבון השירות של המשאב

    למשאב שאתם מתכננים להגדיר את הגדרות ברירת המחדל שלו, מקצים תפקיד לחשבון השירות שלו:

    1. מזהים את מפתח Cloud KMS שבו רוצים להשתמש להצפנה ולפענוח.

      מפתחות Cloud KMS הם אזוריים. לדוגמה, אם אתם מתכננים לדרוש שקטגוריות חדשות של נתונים שנוצרו על ידי המערכת יהיו במיקום us, אתם צריכים מפתח Cloud KMS במיקום us.

    2. מזהים את חשבון השירות של המשאב.

      לדוגמה, אם רוצים שכל קטגוריות הנתונים החדשות של מערכת ה-Observability בארגון יהיו במיקום us וישתמשו ב-CMEK, צריך להוציא קריאה ל-getSettings למיקום global ולהגדיר את פרמטר הנתיב לארגון. נתוני התשובה יכללו את חשבון השירות של הארגון:

      service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com

    3. נותנים לחשבון השירות שזיהיתם בשלב הקודם את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter (roles.cloudkms.cryptoKeyEncrypterDecrypter) בשביל מפתח Cloud KMS שבו רוצים להשתמש להצפנה ולפענוח של נתונים.

      קישור התפקיד הזה הוא למפתח Cloud KMS ספציפי.

      ‫CLI של gcloud

      מריצים את הפקודה gcloud kms keys add-iam-policy-binding:

      gcloud kms keys add-iam-policy-binding KMS_KEY_NAME \
--project=KMS_PROJECT_ID \
--member=serviceAccount:SERVICE_ACCT_NAME@gcp-sa-observability.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

      לפני שמריצים את הפקודה הקודמת, מחליפים את המשתנים הבאים בערכים:

      • KMS_KEY_NAME: השם של המפתח.
      • KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב משם הפרויקט Google Cloud וממספר שמוקצה באופן אקראי, של הפרויקט Google Cloud שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.
      • SERVICE_ACCT_NAME: השם של חשבון השירות של המשאב, שזיהיתם בשלב הקודם.
      • LOCATION_ID: המיקום של מפתח Cloud KMS.
      • KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.

      מסוף Google Cloud

      1. נכנסים לדף Key management במסוף Google Cloud .

        מעבר אל 'ניהול מפתחות'

      2. בוחרים את השם של אוסף המפתחות שמכיל את המפתח.

      3. מסמנים את התיבה של המפתח.

        הכרטיסייה Permissions (הרשאות) מופיעה.

      4. בתיבת הדו-שיח Add members, מציינים את כתובת האימייל של חשבון השירות של Google Cloud Observability שרוצים להעניק לו גישה.

      5. בתפריט Select a role, בוחרים באפשרות Cloud KMS CryptoKey Encrypter/Decrypter.

      6. לוחצים על הוספה.

    הגדרת מפתח Cloud KMS שמשמש כברירת מחדל למשאב ולמיקום

    בשלב הקודם, הענקתם לחשבון השירות של משאב הרשאות להצפנה ולפענוח של נתונים עבור מפתח ספציפי של Cloud KMS. לדוגמה, יכול להיות שהענקתם לחשבון שירות של ארגון תפקיד IAM שמאפשר לו לגשת למפתח Cloud KMS שנמצא במיקום us.

    בשלב הזה, מעדכנים את הגדרות ברירת המחדל של קטגוריות הנתונים של יכולת הצפייה במידע המפתח של המשאב ושל המיקום של מפתח Cloud KMS. לדוגמה, בשלב הזה אפשר להגדיר את הגדרות ברירת המחדל של קטגוריות של נתונים שמאפשרים תצפית בארגון ובמיקום us, למפתח Cloud KMS שנמצא גם הוא במיקום us.

    REST

    1. עבור המשאב שרוצים להגדיר לו הגדרות ברירת מחדל, בוחרים את נקודת הקצה המתאימה ואז ב-APIs Explorer מציינים את פרמטר הנתיב:

      ארגון:

      תיקייה:

      פרויקט:

      המשתנים בביטויים הקודמים הם בעלי המשמעות הבאה:

      • ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את המזהה של הארגון מוסבר איך מקבלים את המזהה הזה.
      • FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.
      • PROJECT_ID: מזהה הפרויקט.
      • LOCATION_ID: המיקום של מפתח Cloud KMS.

    2. מגדירים את השדה updateMask באופן הבא:

      updateMask=kmsKeyName

    3. מגדירים את גוף הבקשה באופן הבא:

      {
  "kmsKeyName"="projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
}

      לפני שמזינים את הערכים, מחליפים את הערכים הבאים:

      • KMS_PROJECT_ID: המזהה האלפאנומרי הייחודי, שמורכב משם הפרויקט Google Cloud וממספר שמוקצה באופן אקראי, של הפרויקט Google Cloud שמריץ את Cloud KMS. במאמר זיהוי פרויקטים מוסבר איך מקבלים את המזהה הזה.
      • LOCATION_ID: המיקום של מפתח Cloud KMS.
      • KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.
      • KMS_KEY_NAME: השם של המפתח.

      הערך של "kmsKeyName" הוא השם המלא של המפתח.

    4. לוחצים על Execute.

      אם הפעולה בוצעה ללא שגיאות, התגובה היא אובייקט Settings.

      לדוגמה, נניח שאתם מריצים את הפקודה updateSettings כדי להגדיר מפתח Cloud KMS, ומגדירים את פרמטר הנתיב ל-organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings. התשובה תהיה דומה לתשובה הבאה:

      name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings"
service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
kms_key_name: "projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"

    הגדרת מיקום האחסון שמוגדר כברירת מחדל למשאב

    בשלב הזה מוסבר איך להגדיר מיקום אחסון שמוגדר כברירת מחדל למשאב, שהוא ארגון, תיקייה או פרויקט. כל צאצא בהיררכיית המשאבים משתמש אוטומטית במיקום האחסון שמוגדר כברירת מחדל, למעט צאצאים שהגדרתם להם מיקום אחסון שמוגדר כברירת מחדל.

    לדוגמה, אם מגדירים את מיקום האחסון שמוגדר כברירת מחדל לארגון למיקום us, קטגוריות חדשות של נתוני observability שנוצרות על ידי המערכת בארגון הזה יהיו במיקום us. אם רוצים שלתיקייה או לפרויקט יהיה מיקום אחסון שונה שמוגדר כברירת מחדל, צריך להגדיר הגדרות ברירת מחדל לקטגוריות של נתונים שניתנים לצפייה בתיקייה או בפרויקט.

    אם רוצים שקטגוריות הנתונים של יכולת התצפית שנוצרו על ידי המערכת במשאב ישתמשו ב-CMEK, צריך לבצע את השלבים הבאים לפני שמגדירים את מיקום האחסון שמוגדר כברירת מחדל למשאב:

    1. מקצים לחשבון השירות של המשאב את התפקיד ב-IAM שמאפשר לחשבון השירות להצפין ולפענח נתונים. ההרשאה הזו מיועדת למפתח Cloud KMS ספציפי, והמפתח הזה נמצא במיקום ספציפי.
    2. מגדירים את הגדרות ברירת המחדל של קטגוריות של נתונים שניתן לצפות בהם עבור המשאב ומיקום המפתח עם פרטי מפתח Cloud KMS.

    REST

    כדי להגדיר את מיקום האחסון שמוגדר כברירת מחדל לארגון, לתיקייה או לפרויקט:

    1. עבור המשאב שרוצים להגדיר לו הגדרות ברירת מחדל, בוחרים את נקודת הקצה המתאימה ואז ב-APIs Explorer מציינים את פרמטר הנתיב:

      ארגון:

      תיקייה:

      פרויקט:

      המשתנים בביטויים הקודמים הם בעלי המשמעות הבאה:

    2. מגדירים את השדה updateMask באופן הבא:

      updateMask=defaultStorageLocation

    3. מגדירים את גוף הבקשה באופן הבא:

      {
  "defaultStorageLocation"="DEFAULT_STORAGE_LOCATION"
}

      מחליפים את DEFAULT_STORAGE_LOCATION במיקום נתמך של קטגוריית נתונים לצורך ניטור.

      לדוגמה, נניח שאתם רוצים שכל הקטגוריות החדשות של נתוני תצפית שנוצרו על ידי המערכת בארגון שלכם יהיו במיקום us וישתמשו ב-CMEK. בשלבים הקודמים הענקתם לחשבון השירות של הארגון תפקיד IAM שמאפשר לו להצפין ולפענח נתונים באמצעות מפתח Cloud KMS שנמצא במיקום us. כדי להשלים את ההגדרה, צריך להגדיר את DEFAULT_STORAGE_LOCATION כ-us.

    4. לוחצים על Execute.

      אם הפעולה בוצעה ללא שגיאות, התגובה היא אובייקט Settings.

      לדוגמה, אם מריצים את הפקודה updateSettings ומגדירים את פרמטר הנתיב לארגון, ומגדירים את מיקום האחסון שמוגדר כברירת מחדל ל-us, התשובה תהיה דומה לזו:

      default_storage_location: "us"
service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com

    עדכון מיקום האחסון שמוגדר כברירת מחדל למשאב

    כדי לעדכן את מיקום האחסון שמוגדר כברירת מחדל לארגון, לתיקייה או לפרויקט, פועלים לפי אותה פרוצדורה כמו כשמגדירים את מיקום האחסון שמוגדר כברירת מחדל.

    ניהול מפתחות Cloud KMS

    בקטעים הבאים מוסבר איך לשנות, להשבית או לבטל את הגישה למפתח Cloud KMS.

    עדכון מפתח ברירת המחדל של Cloud KMS למשאב ולמיקום

    כדי לעדכן את מפתח Cloud KMS עבור משאב ומיקום ספציפיים, פועלים לפי אותה פרוצדורה שבה מגדירים את מפתח Cloud KMS.

    ביטול ההגדרה של מפתח Cloud KMS שמשמש כברירת מחדל למשאב ולמיקום

    כדי לבטל את ההגדרה של מפתח Cloud KMS למשאב ולמיקום ספציפיים, פועלים לפי אותה פרוצדורה שמתוארת במאמר הגדרת מפתח Cloud KMS שמשמש כברירת מחדל למיקום. אבל כשמגדירים את גוף הבקשה, צריך להגדיר את הערך של המפתח כמחרוזת ריקה.

    {
  "kmsKeyName"=""
}

    אם למשאב אין מפתח ברירת מחדל של Cloud KMS, המערכת מחפשת מפתח ברירת מחדל של Cloud KMS במשאבי האב של המשאב:

    • אם נמצא מפתח Cloud KMS, המפתח הזה משמש להצפנת הנתונים שמאוחסנים בקטגוריית הניראות החדשה.

    • אם לא נמצא מפתח Cloud KMS, קטגוריית התצפית החדשה לא משתמשת ב-CMEK.

    ביטול גישה למשאב ולמיקום

    כשמגדירים את הגדרות ברירת המחדל של קטגוריות של נתונים שניתנים לצפייה עבור משאב ומיקום עם מפתח Cloud KMS, צריך להעניק לחשבון השירות של המשאב את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter ‏ (roles.cloudkms.cryptoKeyEncrypterDecrypter) עבור המפתח.

    אם אתם לא רוצים שלמשאב תהיה גישה למפתח, אתם צריכים להסיר את הקישור של IAM למפתח הזה. כדי להסיר את הקישור הזה, מריצים את הפקודה gcloud kms keys remove-iam-policy-binding.

    יכול להיות שיעברו כמה שעות עד שהשינוי בתפקיד יתעדכן באופן מלא.

    התנהגות של רוטציית מפתחות

    ‫Google Cloud Observability לא מבצע רוטציה אוטומטית למפתח ההצפנה של קבצים זמניים לשחזור אחרי אסון, כשמתבצעת רוטציה של מפתח Cloud KMS שמשויך ל Google Cloud ארגון או לתיקייה. בקבצים קיימים של שחזור ממשיכים להשתמש בגרסת המפתח שבאמצעותה הם נוצרו. בקובצי שחזור חדשים נעשה שימוש בגרסה הנוכחית של המפתח הראשי.

    מידע נוסף זמין במאמר בנושא רוטציית מפתחות.

    מגבלות

    אלה המגבלות הידועות כשמגדירים את הגדרות ברירת המחדל של מאגרי נתונים של נתוני תצפית כך שיכללו הגדרת CMEK.

    ירידה ברמת השירות בגלל חוסר זמינות של מפתח

    ‫Google Cloud Observability משתמש ב-Cloud KMS API כדי לגשת למפתחות Cloud KMS ולמפתחות Cloud EKM. יכול להיות שאף אחד מסוגי המפתחות לא יהיה זמין.

    אם מפתח הופך ללא זמין, קורים הדברים הבאים:

    • אי אפשר לשלוח שאילתות לגבי נתונים מאוחסנים.
    • ב-Google Cloud Observability יש מאגר זמני של הנתונים משלוש השעות האחרונות. יכול להיות שנתונים ישנים יותר מחלון הזמן הזה של שלוש שעות יימחקו.
    • כדי לאחסן נתונים באופן קבוע, מפתח Cloud KMS צריך להיות זמין ונגיש למשך 24 שעות רצופות לפחות בפרק הזמן של 48 שעות אחרי כתיבת הנתונים. אם מפתח Cloud KMS לא זמין ולא נגיש בתקופה הזו, יכול להיות שהנתונים לא יישמרו באופן מלא באחסון ויימחקו.

    המאמרים הבאים