관측 가능성 버킷의 기본값 설정

이 문서에서는 모니터링 가능성 버킷이 규정 준수 또는 규제 요구사항을 충족하도록 조직, 폴더 또는 프로젝트를 구성하는 방법을 설명합니다.

• 조직, 폴더, 프로젝트의 경우 모니터링 가능성 버킷의 기본 설정을 사용하면 다음을 구성할 수 있습니다.

  • 기본 저장 위치
  • 각 위치의 기본 Cloud Key Management Service 키입니다.

  리소스 계층 구조의 하위 요소는 기본 설정을 구성한 하위 요소를 제외하고 이러한 설정을 자동으로 사용합니다.

  관측 가능성 버킷의 기본 설정은 기존 리소스가 아닌 새 리소스에만 적용됩니다.

관측 가능성 버킷 설정의 기본 설정은 로그 데이터를 저장하는 로그 버킷에는 적용되지 않습니다. 로그 버킷의 기본 위치를 설정하거나 CMEK를 요구하는 방법을 알아보려면 Cloud Logging의 기본 리소스 설정 구성을 참고하세요.

관측 가능성 버킷의 기본 설정 보기

이 섹션에서는 조직, 폴더 또는 프로젝트인 리소스의 모니터링 가능성 버킷의 기본 설정을 확인하는 방법을 설명합니다.

관측 가능성 버킷의 기본 설정을 가져오려면 여러 API 명령어를 실행해야 합니다. 첫 번째 명령어는 기본 스토리지 위치를 반환합니다. 두 번째 명령어는 해당 위치의 Cloud KMS 키를 반환합니다. 이 안내는 문서 페이지에서 API 명령어를 실행할 수 있는 API 탐색기에 관한 것입니다. 하지만 curl 명령어를 실행할 수도 있습니다.

이 섹션에 설명된 명령어는 특정 리소스용입니다. 이러한 명령어의 응답은 해당 리소스의 사용자 구성 값으로 제한됩니다. 이러한 명령어는 리소스에서 사용할 수 있지만 상위 항목에 대해 구성된 설정은 반환하지 않습니다.

시작하기 전에

조직, 폴더 또는 프로젝트의 관측 가능성 버킷에 대한 기본 설정을 보는 데 필요한 권한을 얻으려면 관리자에게 조직, 폴더 또는 프로젝트에 대한 관측 가능성 뷰어 (roles/observability.viewer) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 조직, 폴더 또는 프로젝트의 관측 가능성 버킷의 기본 설정을 보는 데 필요한 observability.settings.get 권한이 포함되어 있습니다.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 가져올 수도 있습니다.

리소스의 기본 스토리지 위치 가져오기

리소스의 기본 스토리지 위치를 가져오려면 리소스별 엔드포인트로 명령어를 보내고 해당 명령어의 위치를 global로 설정합니다. 응답 데이터에는 기본 저장소 위치와 서비스 계정 이름이 포함됩니다. 리소스에 CMEK가 필요한 경우 이 서비스 계정은 Cloud KMS 키를 검색하는 데 사용됩니다.

리소스 및 위치의 기본 Cloud KMS 키 가져오기

Cloud KMS 키는 리전별 리소스입니다. 키와 동일한 위치에 저장된 데이터를 암호화하거나 복호화하는 데만 사용할 수 있습니다. 관측 가능성 버킷에서 지원하는 각 위치와 각 조직, 폴더 또는 프로젝트에 대해 Cloud KMS 키를 사용하여 관측 가능성 버킷의 기본 설정을 구성할 수 있습니다.

이 섹션에서는 리소스 및 위치의 기본 Cloud KMS 키를 가져오는 방법을 설명합니다.

관측 가능성 버킷의 기본 설정

이 섹션에서는 조직, 폴더 또는 프로젝트인 리소스의 모니터링 가능성 버킷에 대한 기본 설정을 구성하는 방법을 설명합니다.

리소스와 위치에 CMEK를 요구할 계획이라면 기본 스토리지 위치를 설정하기 전에 해당 쌍의 관측 가능성 버킷에 대한 기본 설정을 구성하세요. 리소스 및 위치의 기본 설정을 구성할 때 사용할 Cloud KMS 키를 지정합니다.

이 안내는 문서 페이지에서 API 명령어를 실행할 수 있는 API 탐색기에 대한 안내입니다. 하지만 curl 명령어를 실행할 수도 있습니다.

구성 예시

이 섹션에는 일반적인 사용 사례가 나열되어 있습니다.

새 버킷이 특정 위치에 있어야 함

조직에서 새로 생성되는 시스템 생성 관측 가능성 버킷이 us 위치에 있어야 하는 경우 조직의 기본 스토리지 위치를 us로 설정합니다.

조직 수준 설정을 재정의하고 my-eu-projects라는 하위 폴더에 새로 생성된 시스템 관측 가능성 버킷이 eu 리전에 있어야 하는 경우 my-eu-projects 폴더의 기본 스토리지 위치를 eu로 설정합니다.

새 버킷이 특정 위치에 있고 CMEK를 사용하도록 요구

조직의 모든 새 시스템 생성 관측 가능성 버킷이 us 위치에 있고 CMEK를 사용하도록 요구하려면 다음을 실행하세요.

1. 조직 및 us 위치의 관측 가능성 버킷에 대한 기본 설정을 구성하여 Cloud KMS 키를 지정합니다.

2. 조직의 기본 스토리지 위치를 us로 설정합니다.

시작하기 전에

기본 스토리지 위치만 설정하려는 경우 Google Cloud CLI 설정을 건너뛰어도 되며 Cloud KMS 역할이 필요하지 않습니다.

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. 조직, 폴더 또는 프로젝트의 관측 가능성 버킷에 대한 기본 설정을 지정하는 데 필요한 권한을 얻으려면 관리자에게 조직, 폴더 또는 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

   • 모니터링 가능성 편집자(roles/observability.editor)
   • Cloud KMS 관리자(roles/cloudkms.admin)

   역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

   이러한 사전 정의된 역할에는 조직, 폴더 또는 프로젝트의 관측 가능성 버킷에 대한 기본 설정을 설정하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

   필수 권한

   조직, 폴더 또는 프로젝트의 관측 가능성 버킷에 대한 기본 설정을 설정하려면 다음 권한이 필요합니다.

   • observability.settings.get
   • observability.settings.update
   • cloudkms.cryptoKeys.getIamPolicy
   • cloudkms.cryptoKeys.setIamPolicy

   커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

3. CMEK 사용을 요구할 계획이라면 필요한 위치에 Cloud KMS 키가 있는지 확인하세요. 필요한 경우 Cloud KMS 키링과 Cloud KMS 키를 만듭니다.

4. 모니터링 가능성 버킷의 기본 설정을 업데이트할 리소스를 확인합니다. 이 리소스는 조직, 폴더 또는 프로젝트일 수 있습니다.

   조직 또는 폴더의 기본 설정을 구성하면 해당 조직 또는 폴더의 모든 하위 항목에 적용됩니다. 프로젝트의 관측 가능성 버킷에 대한 기본 설정을 구성하면 해당 프로젝트에만 적용됩니다.

리소스의 서비스 계정에 키에 대한 액세스 권한 부여

기본 설정을 구성할 리소스의 서비스 계정에 역할을 부여합니다.

1. 암호화 및 복호화에 사용할 Cloud KMS 키를 식별합니다.

   Cloud KMS 키는 리전별입니다. 예를 들어 새로 생성되는 시스템 생성 관측 가능성 버킷이 us 위치에 있어야 하는 경우 us 위치에 Cloud KMS 키가 필요합니다.

2. 리소스의 서비스 계정을 식별합니다.

   예를 들어 조직의 모든 새로 생성된 시스템 관측 가능성 버킷이 us 위치에 있고 CMEK를 사용하도록 하려면 global 위치에 getSettings 호출을 실행하고 경로 매개변수를 조직으로 설정합니다. 응답 데이터에 조직의 서비스 계정이 나열됩니다.

   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

3. 이전 단계에서 식별한 서비스 계정에 데이터를 암호화하고 복호화하는 데 사용할 Cloud KMS 키에 대한 Cloud KMS CryptoKey 암호화/복호화 (roles.cloudkms.cryptoKeyEncrypterDecrypter 역할)를 부여합니다.

   이 역할 바인딩은 특정 Cloud KMS 키에 적용됩니다.

   gcloud CLI

   gcloud kms keys add-iam-policy-binding 명령어를 실행합니다.

   gcloud kms keys add-iam-policy-binding KMS_KEY_NAME \
   --project=KMS_PROJECT_ID \
   --member=serviceAccount:SERVICE_ACCT_NAME@gcp-sa-observability.iam.gserviceaccount.com \
   --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
   --location=LOCATION_ID \
   --keyring=KMS_KEY_RING
   

   이전 명령어를 실행하기 전에 다음을 바꿉니다.

   • KMS_KEY_NAME: 키 이름
   • KMS_PROJECT_ID: 고유한 영숫자 식별자. Google Cloud 프로젝트 이름과 Cloud KMS가 실행되는 Google Cloud 프로젝트의 임의로 할당된 번호로 구성됩니다. 이 식별자를 가져오는 방법에 대한 자세한 내용은 프로젝트 식별을 참조하세요.
   • SERVICE_ACCT_NAME: 이전 단계에서 식별한 리소스의 서비스 계정 이름입니다.
   • LOCATION_ID: Cloud KMS 키의 위치입니다.
   • KMS_KEY_RING: Cloud KMS 키링의 이름

   Google Cloud 콘솔

   1. Google Cloud 콘솔에서 키 관리 페이지로 이동합니다.

      키 관리로 이동

   2. 키가 포함된 키링의 이름을 선택합니다.

   3. 키의 체크박스를 선택합니다.

      권한 탭을 사용할 수 있게 됩니다.

   4. 구성원 추가 대화상자에서 액세스 권한을 부여할 Google Cloud Observability 서비스 계정의 이메일 주소를 지정합니다.

   5. 역할 선택 메뉴에서 Cloud KMS CryptoKey 암호화/복호화를 선택합니다.

   6. 추가를 클릭합니다.

리소스 및 위치의 기본 Cloud KMS 키 설정

이전 단계에서는 특정 Cloud KMS 키의 데이터를 암호화하고 복호화할 수 있는 권한을 리소스의 서비스 계정에 부여했습니다. 예를 들어 조직의 서비스 계정에 us 위치에 있는 Cloud KMS 키에 액세스할 수 있는 IAM 역할을 부여했을 수 있습니다.

이 단계에서는 해당 리소스와 Cloud KMS 키의 위치에 대해 키 정보로 관측 가능성 버킷의 기본 설정을 업데이트합니다. 예를 들어 이 단계에서는 조직과 us 위치의 모니터링 가능성 버킷의 기본 설정을 us 위치에도 있는 Cloud KMS 키로 구성할 수 있습니다.

REST

1. 기본 설정을 설정하려는 리소스의 경우 적절한 엔드포인트를 선택한 다음 API 탐색기에서 경로 매개변수를 지정합니다.

   조직:

   • API 엔드포인트: organizations.locations.updateSettings

   • 경로 매개변수:

     organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings
     

   폴더:

   • API 엔드포인트: folders.locations.updateSettings

   • 경로 매개변수:

     folders/FOLDER_ID/locations/LOCATION_ID/settings
     

   프로젝트:

   • API 엔드포인트: projects.locations.updateSettings

   • 경로 매개변수:

     projects/PROJECT_ID/locations/LOCATION_ID/settings
     

   이전 표현식의 변수는 다음과 같은 의미를 갖습니다.

   • ORGANIZATION_ID: 조직의 고유한 숫자 식별자. 이 식별자를 가져오는 방법에 대한 자세한 내용은 조직 ID 가져오기를 참조하세요.
   • FOLDER_ID: 폴더의 고유 숫자 식별자. 폴더 사용 방법에 대한 자세한 내용은 폴더 만들기 및 관리를 참조하세요.
   • PROJECT_ID: 프로젝트 식별자
   • LOCATION_ID: Cloud KMS 키의 위치입니다.

2. updateMask 필드를 다음과 같이 설정합니다.

   updateMask=kmsKeyName
   

3. 다음과 같이 요청 본문을 구성합니다.

   {
     "kmsKeyName"="projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   }
   

   값을 입력하기 전에 다음을 바꿉니다.

   • KMS_PROJECT_ID: 고유한 영숫자 식별자. Google Cloud 프로젝트 이름과 Cloud KMS가 실행되는 Google Cloud 프로젝트의 임의로 할당된 번호로 구성됩니다. 이 식별자를 가져오는 방법에 대한 자세한 내용은 프로젝트 식별을 참조하세요.
   • LOCATION_ID: Cloud KMS 키의 위치입니다.
   • KMS_KEY_RING: Cloud KMS 키링의 이름
   • KMS_KEY_NAME: 키 이름

   "kmsKeyName" 값은 키의 정규화된 이름입니다.

4. 실행을 클릭합니다.

   성공하면 응답이 Settings 객체입니다.

   예를 들어 updateSettings 명령어를 실행하여 Cloud KMS 키를 설정하고 경로 매개변수를 organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings로 설정하면 응답은 다음과 유사합니다.

   name: "organizations/ORGANIZATION_ID/locations/LOCATION_ID/settings"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   kms_key_name: "projects/KMS_PROJECT_ID/locations/LOCATION_ID/keyRings/KMS_KEY_RING/cryptoKeys/KMS_KEY_NAME"
   

리소스의 기본 스토리지 위치 설정

이 단계에서는 조직, 폴더 또는 프로젝트인 리소스의 기본 저장소 위치를 설정하는 방법을 설명합니다. 리소스 계층 구조의 모든 하위 항목은 기본 스토리지 위치를 자동으로 사용합니다. 단, 기본 스토리지 위치를 구성한 하위 항목은 예외입니다.

예를 들어 조직의 기본 스토리지 위치를 us 위치로 설정하면 해당 조직의 새로 생성된 시스템 관측 가능성 버킷은 us 위치에 있습니다. 폴더 또는 프로젝트에 다른 기본 스토리지 위치를 사용하려면 폴더 또는 프로젝트의 관측 가능성 버킷에 대한 기본 설정을 구성하세요.

리소스의 시스템 생성 관측 가능성 버킷이 CMEK를 사용하도록 하려면 리소스의 기본 스토리지 위치를 설정하기 전에 다음 단계를 완료하세요.

1. 서비스 계정에서 데이터를 암호화하고 복호화할 수 있도록 리소스의 서비스 계정에 IAM 역할을 부여합니다. 이 역할은 특정 Cloud KMS 키에 적용되며 해당 키는 특정 위치에 있습니다.
2. Cloud KMS 키 정보로 리소스 및 키 위치의 관측 가능성 버킷에 대한 기본 설정을 구성합니다.

REST

조직, 폴더 또는 프로젝트의 기본 스토리지 위치를 설정하려면 다음을 수행하세요.

1. 기본 설정을 설정하려는 리소스의 경우 적절한 엔드포인트를 선택한 다음 API 탐색기에서 경로 매개변수를 지정합니다.

   조직:

   • API 엔드포인트: organizations.locations.updateSettings

   • 경로 매개변수:

     organizations/ORGANIZATION_ID/locations/global/settings
     

   폴더:

   • API 엔드포인트: folders.locations.updateSettings

   • 경로 매개변수:

     folders/FOLDER_ID/locations/global/settings
     

   프로젝트:

   • API 엔드포인트: projects.locations.updateSettings

   • 경로 매개변수:

     projects/PROJECT_ID/locations/global/settings
     

   이전 표현식의 변수는 다음과 같은 의미를 갖습니다.

   • ORGANIZATION_ID: 조직의 고유한 숫자 식별자. 이 식별자를 가져오는 방법에 대한 자세한 내용은 조직 ID 가져오기를 참조하세요.
   • FOLDER_ID: 폴더의 고유 숫자 식별자. 폴더 사용 방법에 대한 자세한 내용은 폴더 만들기 및 관리를 참조하세요.
   • PROJECT_ID: 프로젝트 식별자

2. updateMask 필드를 다음과 같이 설정합니다.

   updateMask=defaultStorageLocation
   

3. 다음과 같이 요청 본문을 구성합니다.

   {
     "defaultStorageLocation"="DEFAULT_STORAGE_LOCATION"
   }
   

   DEFAULT_STORAGE_LOCATION을 지원되는 관측 가능성 버킷 위치로 바꿉니다.

   예를 들어 조직의 모든 새 시스템 생성 관측 가능성 버킷이 us 위치에 있고 CMEK를 사용하도록 하려고 합니다. 이전 단계에서 조직의 서비스 계정에 us 위치에 있는 Cloud KMS 키를 사용하여 데이터를 암호화하고 복호화할 수 있는 IAM 역할을 부여했습니다. DEFAULT_STORAGE_LOCATION을 us로 설정하여 구성을 완료합니다.

4. 실행을 클릭합니다.

   성공하면 응답이 Settings 객체입니다.

   예를 들어 updateSettings 명령어를 실행하고 경로 매개변수를 조직으로 설정하고 기본 저장소 위치를 us로 설정하면 응답은 다음과 유사합니다.

   default_storage_location: "us"
   service_account_id: service-org-ORGANIZATION_ID@gcp-sa-observability.iam.gserviceaccount.com
   

리소스의 기본 스토리지 위치 업데이트

조직, 폴더 또는 프로젝트의 기본 스토리지 위치를 업데이트하려면 기본 스토리지 위치를 설정할 때와 동일한 절차를 따르세요.

Cloud KMS 키 관리

다음 섹션에서는 Cloud KMS 키를 변경, 사용 중지 또는 액세스 취소하는 방법을 설명합니다.

리소스 및 위치의 기본 Cloud KMS 키 업데이트

특정 리소스 및 위치의 Cloud KMS 키를 업데이트하려면 Cloud KMS 키를 설정할 때와 동일한 절차를 따르세요.

리소스 및 위치의 기본 Cloud KMS 키를 설정 해제합니다.

특정 리소스 및 위치의 Cloud KMS 키를 설정 해제하거나 지우려면 위치의 기본 Cloud KMS 키 설정에 설명된 것과 동일한 절차를 따르세요. 하지만 요청 본문을 구성할 때는 키 값을 빈 문자열로 설정합니다.

{
  "kmsKeyName"=""
}

리소스에 기본 Cloud KMS 키가 없는 경우 시스템은 리소스의 상위 항목에서 기본 Cloud KMS 키를 검색합니다.

• Cloud KMS 키가 발견되면 해당 키가 새 관측 가능성 버킷에 저장된 데이터를 암호화하는 데 사용됩니다.

• Cloud KMS 키를 찾을 수 없으면 새 관측 가능성 버킷에서 CMEK를 사용하지 않습니다.

리소스 및 위치의 키 액세스 권한 취소

Cloud KMS 키가 있는 리소스 및 위치의 관측 가능성 버킷에 대한 기본 설정을 구성할 때는 리소스의 서비스 계정에 키에 대한 Cloud KMS CryptoKey 암호화/복호화 (roles.cloudkms.cryptoKeyEncrypterDecrypter 역할을 부여해야 합니다.

리소스가 키에 액세스하지 못하도록 하려면 해당 키의 IAM 바인딩을 삭제하세요. gcloud kms keys remove-iam-policy-binding 명령어를 실행하여 이 바인딩을 삭제할 수 있습니다.

역할 변경사항이 완전히 적용되기까지 몇 시간이 걸릴 수 있습니다.

키 순환 동작

Google Cloud Observability는 Google Cloud 조직 또는 폴더와 연결된 Cloud KMS 키가 순환할 때 임시 재해 복구 파일의 암호화 키를 자동으로 순환하지 않습니다. 기존 복구 파일은 생성될 때 사용한 키 버전을 계속 사용합니다. 새 복구 파일은 현재 기본 키 버전을 사용합니다.

자세한 내용은 키 순환을 참고하세요.

제한사항

관측 가능성 버킷의 기본 설정을 CMEK 설정으로 구성할 때의 알려진 제한사항은 다음과 같습니다.

키 사용 불가로 인한 성능 저하

Google Cloud Observability는 Cloud KMS API를 사용하여 Cloud KMS 키와 Cloud EKM 키에 모두 액세스합니다. 두 유형의 키 모두 사용할 수 없게 될 수 있습니다.

키를 사용할 수 없게 되면 다음이 발생합니다.

• 저장된 데이터를 쿼리할 수 없습니다.
• Google Cloud Observability는 최근 3시간 동안의 데이터를 버퍼링합니다. 이 3시간의 슬라이딩 기간보다 오래된 데이터는 삭제될 수 있습니다.
• 영구 데이터 스토리지를 사용하려면 데이터가 작성된 후 48시간 동안 최소 24시간 연속으로 Cloud KMS 키를 사용하고 액세스할 수 있어야 합니다. 이 기간 동안 Cloud KMS 키를 사용할 수 없고 액세스할 수 없는 경우 데이터가 스토리지에 완전히 보존되지 않아 삭제될 수 있습니다.

다음 단계

• 관측 가능성 버킷 문제 해결
• 관측 가능성 버킷 관리