Impostare i valori predefiniti per i bucket di osservabilità

Questo documento descrive come configurare un'organizzazione, una cartella o un progetto in modo che i bucket di osservabilità soddisfino i requisiti di conformità o normativi.

• Per organizzazioni, cartelle e progetti, le impostazioni predefinite per i bucket di osservabilità consentono di configurare quanto segue:

  • Una posizione di archiviazione predefinita.
  • Per ogni località, una chiave Cloud Key Management Service predefinita.

  I discendenti nella gerarchia delle risorse utilizzano automaticamente queste impostazioni, ad eccezione di quelli per cui hai configurato le impostazioni predefinite.

  Le impostazioni predefinite per i bucket di osservabilità si applicano solo alle nuove risorse, non a quelle esistenti.

Le impostazioni predefinite per i bucket di osservabilità non si applicano ai bucket di log, che archiviano i dati di log. Per scoprire come impostare la località predefinita o richiedere CMEK per i bucket di log, consulta Configura le impostazioni predefinite delle risorse per Cloud Logging.

Visualizzare le impostazioni predefinite per i bucket di osservabilità

Questa sezione descrive come visualizzare le impostazioni predefinite per i bucket di osservabilità per una risorsa, ovvero un'organizzazione, una cartella o un progetto.

Per recuperare le impostazioni predefinite per i bucket di osservabilità, devi eseguire più comandi API. Il primo comando restituisce la località di archiviazione predefinita. Il secondo comando restituisce la chiave Cloud KMS per quella località. Queste istruzioni sono per Explorer API, che ti consente di eseguire comandi API da una pagina di documentazione. Tuttavia, puoi anche inviare un comando curl.

I comandi descritti in questa sezione si riferiscono a una risorsa specifica. Le risposte di questi comandi sono limitate ai valori configurati dall'utente per la risorsa. Questi comandi non restituiscono le impostazioni che la risorsa potrebbe utilizzare, ma che sono configurate per un elemento principale.

Prima di iniziare

Per ottenere l'autorizzazione necessaria per visualizzare le impostazioni predefinite per i bucket di osservabilità per un'organizzazione, una cartella o un progetto, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore osservabilità (roles/observability.viewer) nell'organizzazione, nella cartella o nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene l'autorizzazione observability.settings.get necessaria per visualizzare le impostazioni predefinite per i bucket di osservabilità per un'organizzazione, una cartella o un progetto.

Potresti anche ottenere questa autorizzazione con ruoli personalizzati o altri ruoli predefiniti.

Recuperare la posizione di archiviazione predefinita per una risorsa

Per ottenere la posizione di archiviazione predefinita di una risorsa, invia un comando a un endpoint specifico della risorsa e imposta la posizione del comando su global. I dati di risposta includono la posizione di archiviazione predefinita e il nome di unaccount di serviziot. Se richiedi CMEK per la risorsa, questo account di servizio viene utilizzato per recuperare le chiavi Cloud KMS.

Recupera la chiave Cloud KMS predefinita per una risorsa e una località

Le chiavi Cloud KMS sono risorse regionali. Possono essere utilizzate solo per criptare o decriptare i dati memorizzati nella stessa posizione della chiave. Per ogni località supportata dai bucket di osservabilità e per ogni organizzazione, cartella o progetto, puoi configurare le impostazioni predefinite per i bucket di osservabilità con una chiave Cloud KMS.

Questa sezione descrive come ottenere la chiave Cloud KMS predefinita per risorsa e località.

Impostare le impostazioni predefinite per i bucket di osservabilità

Questa sezione descrive come configurare le impostazioni predefinite per i bucket di osservabilità per una risorsa, ovvero un'organizzazione, una cartella o un progetto.

Se prevedi di richiedere CMEK per una risorsa e una località, configura le impostazioni predefinite per i bucket di osservabilità per questa coppia prima di impostare la località di archiviazione predefinita. Quando configuri le impostazioni predefinite per una risorsa e una località, specifica la chiave Cloud KMS da utilizzare.

Queste istruzioni sono per l'API Explorer, che consente di eseguire comandi API da una pagina di documentazione. Tuttavia, puoi anche inviare un comando curl.

Configurazioni di esempio

Questa sezione elenca i casi d'uso comuni.

Richiedi che i nuovi bucket si trovino in una posizione specifica

Per richiedere che i nuovi bucket di osservabilità creati dal sistema nella tua organizzazione si trovino nella località us, imposta la località di archiviazione predefinita per la tua organizzazione su us.

Per ignorare le impostazioni a livello di organizzazione e richiedere che i nuovi bucket di osservabilità creati dal sistema nella cartella secondaria denominata my-eu-projects si trovino nella regione eu, imposta la posizione di archiviazione predefinita per la cartella my-eu-projects su eu.

Richiedere che i nuovi bucket si trovino in una posizione specifica e utilizzino CMEK

Per richiedere che tutti i nuovi bucket di osservabilità creati dal sistema nella tua organizzazione si trovino nella località us e utilizzino CMEK:

1. Configura le impostazioni predefinite per i bucket di osservabilità per la tua organizzazione e la località us per specificare una chiave Cloud KMS.

2. Imposta la posizione di archiviazione predefinita per la tua organizzazione su us.

Prima di iniziare

Se prevedi di impostare solo la posizione di archiviazione predefinita, puoi saltare la configurazione di Google Cloud CLI e non hai bisogno di ruoli Cloud KMS.

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Per ottenere le autorizzazioni necessarie per impostare le impostazioni predefinite per i bucket di osservabilità per un'organizzazione, una cartella o un progetto, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione, nella cartella o nel progetto:

   • Editor Observability (roles/observability.editor)
   • Amministratore Cloud KMS (roles/cloudkms.admin)

   Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

   Questi ruoli predefiniti contengono le autorizzazioni necessarie per impostare le impostazioni predefinite per i bucket di osservabilità per un'organizzazione, una cartella o un progetto. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

   Autorizzazioni obbligatorie

   Per impostare le impostazioni predefinite per i bucket di osservabilità per un'organizzazione, una cartella o un progetto sono necessarie le seguenti autorizzazioni:

   • observability.settings.get
   • observability.settings.update
   • cloudkms.cryptoKeys.getIamPolicy
   • cloudkms.cryptoKeys.setIamPolicy

   Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

3. Se prevedi di richiedere l'utilizzo di CMEK, assicurati di avere una chiave Cloud KMS nella posizione richiesta. Se necessario, crea un keyring Cloud KMS e una chiave Cloud KMS.

4. Determina la risorsa di cui prevedi di aggiornare le impostazioni predefinite per i bucket di osservabilità. Questa risorsa può essere un'organizzazione, una cartella o un progetto.

   Se configuri le impostazioni predefinite per un'organizzazione o una cartella, queste vengono applicate a tutti i discendenti dell'organizzazione o della cartella. Se configuri le impostazioni predefinite per i bucket di osservabilità per un progetto, queste si applicano solo a quel progetto.

Concedi l'accesso a una chiave al account di servizio della risorsa

Per la risorsa di cui prevedi di configurare le impostazioni predefinite, concedi un ruolo al relativo account di servizio:

1. Identifica la chiave Cloud KMS che vuoi utilizzare per la crittografia e la decrittografia.

   La chiave Cloud KMS è regionale. Ad esempio, se prevedi di richiedere che i nuovi bucket di osservabilità creati dal sistema si trovino nella località us, devi disporre di una chiave Cloud KMS nella località us.

2. Identifica il account di servizio per la tua risorsa.

   Ad esempio, se vuoi che tutti i nuovi bucket di osservabilità creati dal sistema nella tua organizzazione si trovino nella località us e utilizzino CMEK, emetti una chiamata getSettings alla località global e imposta il parametro del percorso su un'organizzazione. I dati di risposta elencano ilaccount di serviziot dell'organizzazione:

   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

3. Concedi all'account di servizio che hai identificato nel passaggio precedente il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles.cloudkms.cryptoKeyEncrypterDecrypter per la chiave Cloud KMS che vuoi utilizzare per criptare e decriptare i dati.

   Questo binding del ruolo è per una chiave Cloud KMS specifica.

   Interfaccia a riga di comando gcloud

   Esegui il comando gcloud kms keys add-iam-policy-binding:

   gcloud kms keys add-iam-policy-binding KMS_KEY_NAME \
   --project=KMS_PROJECT_ID \
   --member=serviceAccount:SERVICE_ACCT_NAME@gcp-sa-observability.iam.gserviceaccount.com \
   --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
   --location=LOCATION_ID \
   --keyring=KMS_KEY_RING
   

   Prima di eseguire il comando precedente, effettua le seguenti sostituzioni:

   • KMS_KEY_NAME: il nome della chiave.
   • KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del tuo progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta Identificazione dei progetti.
   • SERVICE_ACCT_NAME: il nome del account di servizio della risorsa, che hai identificato nel passaggio precedente.
   • LOCATION_ID: la posizione della chiave Cloud KMS.
   • KMS_KEY_RING: il nome delle chiavi automatizzate Cloud KMS.

   Console Google Cloud

   1. Nella console Google Cloud , vai alla pagina Gestione chiavi.

      Vai a Gestione delle chiavi

   2. Seleziona il nome delle chiavi automatizzate contenenti la chiave.

   3. Seleziona la casella di controllo relativa alla chiave.

      Viene visualizzata la scheda Autorizzazioni.

   4. Nella finestra di dialogo Aggiungi membri, specifica l'indirizzo email del account di servizio Google Cloud Observability a cui stai concedendo l'accesso.

   5. Nel menu Seleziona un ruolo, seleziona Cloud KMS CryptoKey Encrypter/Decrypter.

   6. Fai clic su Aggiungi.

Imposta la chiave Cloud KMS predefinita per una risorsa e una località

Nel passaggio precedente, hai concesso all'account di servizio di una risorsa le autorizzazioni per criptare e decriptare i dati per una chiave Cloud KMS specifica. Ad esempio, potresti aver concesso a un account di servizio dell'organizzazione un ruolo IAM che gli consente di accedere a una chiave Cloud KMS che si trova nella località us.

In questo passaggio, per la risorsa e per la posizione della chiave Cloud KMS, aggiorni le impostazioni predefinite per i bucket di osservabilità con le informazioni sulla chiave. Ad esempio, in questo passaggio puoi configurare le impostazioni predefinite per i bucket di osservabilità per la tua organizzazione e per la località us, in modo che puntino alla chiave Cloud KMS che si trova anche nella località us.

REST

1. Per la risorsa di cui vuoi impostare le impostazioni predefinite, seleziona l'endpoint appropriato e poi in APIs Explorer, specifica il parametro del percorso:

   Organizzazione:

   • Endpoint API: organizations.locations.updateSettings

   • Parametro del percorso:

     organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings
     

   Cartella:

   • Endpoint API: folders.locations.updateSettings

   • Parametro del percorso:

     folders/FOLDER_ID/locations/LOCATION_ID/settings
     

   Progetto:

   • Endpoint API: projects.locations.updateSettings

   • Parametro del percorso:

     projects/PROJECT_ID/locations/LOCATION_ID/settings
     

   Le variabili nelle espressioni precedenti hanno il seguente significato:

   • ORGANIZATION_ID: l'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.
   • FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.
   • PROJECT_ID: l'identificatore del progetto.
   • LOCATION_ID: la posizione della chiave Cloud KMS.

2. Imposta il campo updateMask nel seguente modo:

   updateMask=kmsKeyName
   

3. Configura il corpo della richiesta come segue:

   {
     "kmsKeyName"="projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   }
   

   Prima di inserire i valori, esegui le seguenti sostituzioni:

   • KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del tuo progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta Identificazione dei progetti.
   • LOCATION_ID: la posizione della chiave Cloud KMS.
   • KMS_KEY_RING: il nome delle chiavi automatizzate Cloud KMS.
   • KMS_KEY_NAME: il nome della chiave.

   Il valore di "kmsKeyName" è il nome completo della chiave.

4. Fai clic su Esegui.

   In caso di esito positivo, la risposta è un oggetto Settings.

   Ad esempio, supponi di eseguire il comando updateSettings per impostare una chiave Cloud KMS e di impostare il parametro del percorso su organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings, la risposta è simile alla seguente:

   name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   kms_key_name: "projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   

Impostare la posizione di archiviazione predefinita per una risorsa

Questo passaggio descrive come impostare una località di archiviazione predefinita per una risorsa, ovvero un'organizzazione, una cartella o un progetto. Tutti i discendenti nella gerarchia delle risorse utilizzano automaticamente la posizione di archiviazione predefinita, ad eccezione di quelli per cui hai configurato una posizione di archiviazione predefinita.

Ad esempio, se imposti la località di archiviazione predefinita per un'organizzazione sulla località us, i nuovi bucket di osservabilità creati dal sistema in quell'organizzazione si trovano nella località us. Se vuoi che una cartella o un progetto abbia una località di archiviazione predefinita diversa, configura le impostazioni predefinite per i bucket di osservabilità per la cartella o il progetto.

Se vuoi che i bucket di osservabilità creati dal sistema in una risorsa utilizzino CMEK, completa i seguenti passaggi prima di impostare la località di archiviazione predefinita per la risorsa:

1. Concedi al account di servizio della risorsa il ruolo IAM che consente al account di servizio di criptare e decriptare i dati. Questo ruolo è per una chiave Cloud KMS specifica e questa chiave si trova in una località specifica.
2. Configura le impostazioni predefinite per i bucket di osservabilità per la risorsa e la posizione della chiave con le informazioni sulla chiave Cloud KMS.

REST

Per impostare la località di archiviazione predefinita per la tua organizzazione, cartella o progetto, procedi nel seguente modo:

1. Per la risorsa di cui vuoi impostare le impostazioni predefinite, seleziona l'endpoint appropriato e poi in APIs Explorer, specifica il parametro del percorso:

   Organizzazione:

   • Endpoint API: organizations.locations.updateSettings

   • Parametro del percorso:

     organizations/ORGANIZATION_ID/locations/global/settings
     

   Cartella:

   • Endpoint API: folders.locations.updateSettings

   • Parametro del percorso:

     folders/FOLDER_ID/locations/global/settings
     

   Progetto:

   • Endpoint API: projects.locations.updateSettings

   • Parametro del percorso:

     projects/PROJECT_ID/locations/global/settings
     

   Le variabili nelle espressioni precedenti hanno il seguente significato:

   • ORGANIZATION_ID: l'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, vedi Ottenere l'ID organizzazione.
   • FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, vedi Creare e gestire le cartelle.
   • PROJECT_ID: l'identificatore del progetto.

2. Imposta il campo updateMask nel seguente modo:

   updateMask=defaultStorageLocation
   

3. Configura il corpo della richiesta come segue:

   {
     "defaultStorageLocation"="DEFAULT_STORAGE_LOCATION"
   }
   

   Sostituisci DEFAULT_STORAGE_LOCATION con una posizione del bucket di osservabilità supportata.

   Ad esempio, supponiamo che tu voglia che tutti i nuovi bucket di osservabilità creati dal sistema nella tua organizzazione si trovino nella località us e utilizzino CMEK. Nei passaggi precedenti, hai concesso all'account di servizio dell'organizzazione un ruolo IAM che gli consente di criptare e decriptare i dati utilizzando una chiave Cloud KMS che si trova nella località us. Completa la configurazione impostando DEFAULT_STORAGE_LOCATION su us.

4. Fai clic su Esegui.

   In caso di esito positivo, la risposta è un oggetto Settings.

   Ad esempio, se esegui un comando updateSettings e imposti il parametro path su un'organizzazione e la posizione di archiviazione predefinita su us, la risposta è simile alla seguente:

   default_storage_location: "us"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

Aggiorna la posizione di archiviazione predefinita per una risorsa

Per aggiornare la località di archiviazione predefinita per un'organizzazione, una cartella o un progetto, segui la stessa procedura utilizzata per impostare la località di archiviazione predefinita.

Gestire le chiavi Cloud KMS

Le sezioni seguenti descrivono come modificare, disattivare o revocare l'accesso a una chiave Cloud KMS.

Aggiorna la chiave Cloud KMS predefinita per una risorsa e una località

Per aggiornare la chiave Cloud KMS per una risorsa e una posizione specifiche, segui la stessa procedura utilizzata per impostare la chiave Cloud KMS.

Annulla l'impostazione della chiave Cloud KMS predefinita per una risorsa e una località

Per annullare o cancellare la chiave Cloud KMS per una risorsa e una località specifiche, segui la stessa procedura descritta in Impostare la chiave Cloud KMS predefinita per una località. Tuttavia, quando configuri il corpo della richiesta, imposta il valore della chiave su una stringa vuota.

{
  "kmsKeyName"=""
}

Se la risorsa non ha una chiave Cloud KMS predefinita, il sistema cerca una chiave Cloud KMS predefinita negli antenati della risorsa:

• Se viene trovata una chiave Cloud KMS, questa viene utilizzata per criptare i dati archiviati nel nuovo bucket di osservabilità.

• Se non viene trovata una chiave Cloud KMS, il nuovo bucket di osservabilità non utilizza CMEK.

Revocare l'accesso alla chiave per una risorsa e una posizione

Quando configuri le impostazioni predefinite per i bucket di osservabilità per una risorsa e una località con una chiave Cloud KMS, devi concedere all'account di servizio della risorsa il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles.cloudkms.cryptoKeyEncrypterDecrypter per la chiave.

Se non vuoi che una risorsa abbia accesso a una chiave, rimuovi l'associazione IAM per quella chiave. Puoi rimuovere questo binding eseguendo il comando gcloud kms keys remove-iam-policy-binding.

Potrebbero essere necessarie diverse ore prima che la modifica del ruolo venga propagata completamente.

Comportamento di rotazione della chiave

Google Cloud Observability non ruota automaticamente la chiave di crittografia per i file temporanei di ripristino di emergenza quando la chiave Cloud KMS associata all'organizzazione o alla cartella ruota. Google Cloud I file di recupero esistenti continuano a utilizzare la versione della chiave con cui sono stati creati. I nuovi file di recupero utilizzano la versione della chiave primaria corrente.

Per saperne di più, consulta Rotazione delle chiavi.

Limitazioni

Di seguito sono riportate le limitazioni note quando configuri le impostazioni predefinite per i bucket di osservabilità in modo che abbiano un'impostazione CMEK.

Degrado dovuto alla mancata disponibilità della chiave

Google Cloud Observability utilizza l'API Cloud KMS per accedere sia alle chiavi Cloud KMS sia alle chiavi Cloud EKM. Entrambi i tipi di chiavi potrebbero non essere più disponibili.

Se una chiave non è più disponibile, si verifica quanto segue:

• Non puoi eseguire query sui dati archiviati.
• Google Cloud Observability memorizza nel buffer le ultime tre ore di dati. I dati precedenti a questa finestra mobile di tre ore potrebbero essere eliminati.
• Per l'archiviazione permanente dei dati, una chiave Cloud KMS deve essere disponibile e accessibile per almeno 24 ore consecutive nel periodo di 48 ore successivo alla scrittura dei dati. Se la chiave Cloud KMS non è disponibile e accessibile per questo periodo, i dati potrebbero non essere completamente archiviati e potrebbero essere eliminati.

Passaggi successivi

• Risolvi i problemi relativi ai bucket di osservabilità.
• Gestisci i bucket di osservabilità.