Mengonfigurasi CMEK untuk Cloud Logging

Dokumen ini menjelaskan cara mengonfigurasi dan mengelola kunci enkripsi yang dikelola pelanggan (CMEK) untuk Cloud Logging guna memenuhi kebutuhan kepatuhan organisasi Anda. Anda dapat mengonfigurasi CMEK sebagai setelan resource default untuk organisasi, folder, atau keduanya. Jika dikonfigurasi, Cloud Logging akan memastikan bahwa semua bucket log baru dalam organisasi atau folder dienkripsi dengan kunci yang dikelola pelanggan.

Anda dapat mengonfigurasi setelan default untuk organisasi dan folder. Saat Anda membuat resource baru, resource tersebut akan mewarisi setelan default induknya. Misalnya, jika Anda mengonfigurasi CMEK sebagai setelan resource default untuk organisasi, semua bucket log _Default dan _Required baru yang dibuat di project, folder, atau akun penagihan dalam organisasi tersebut akan dienkripsi dengan kunci default. Selain itu, jika Anda membuat bucket log kustom dalam project yang merupakan turunan dari organisasi tersebut, kunci default akan otomatis digunakan kecuali jika Anda memberikan kunci yang berbeda saat membuat bucket log.

Petunjuk dalam panduan ini menggunakan Google Cloud CLI.

Ringkasan

Secara default, Cloud Logging mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Data yang disimpan di bucket log oleh Logging dienkripsi menggunakan kunci enkripsi kunci, proses yang dikenal sebagai enkripsi menyeluruh. Akses ke data logging Anda memerlukan akses ke kunci enkripsi tersebut. Secara default, ini adalah Google-owned and Google-managed encryption keys dan tidak memerlukan tindakan apa pun dari Anda.

Organisasi Anda mungkin memiliki persyaratan enkripsi tingkat lanjut, terkait kepatuhan, atau peraturan yang tidak disediakan oleh enkripsi saat istirahat default kami. Untuk memenuhi persyaratan organisasi Anda, alih-alih menggunakan Google-owned and Google-managed encryption keys, Anda dapat mengonfigurasi CMEK untuk mengontrol dan mengelola enkripsi Anda sendiri.

Untuk mengetahui informasi spesifik tentang CMEK, termasuk keuntungan dan batasannya, lihat Kunci enkripsi yang dikelola pelanggan.

Saat Anda mengonfigurasi CMEK sebagai setelan resource default untuk Logging, hal berikut akan terjadi:

  • Bucket log baru di organisasi atau folder akan otomatis dienkripsi dengan kunci yang dikonfigurasi. Namun, Anda dapat mengubah kunci tersebut atau membuat bucket log dan menentukan kunci yang berbeda. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi CMEK untuk bucket log.

Sebelum memulai

Untuk memulai, selesaikan langkah-langkah berikut:

  1. Sebelum membuat bucket log dengan CMEK diaktifkan, tinjau Batasan.

  2. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  3. Konfigurasi project Google Cloud tempat Anda berencana membuat kunci:

    1. Untuk mendapatkan izin yang diperlukan guna membuat kunci, minta administrator Anda untuk memberi Anda peran IAM Admin Cloud KMS (roles/cloudkms.admin) di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

      Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

    2. Aktifkan Cloud KMS API.

    3. Buat key ring dan kunci.

      Cloud Logging memungkinkan Anda menggunakan kunci dari region mana pun. Namun, saat Anda membuat bucket log, lokasi bucket log harus cocok dengan lokasi kunci. Untuk mengetahui informasi tentang region yang didukung, lihat bagian berikut:

      Jika Anda mengonfigurasi CMEK sebagai setelan resource default untuk Logging menggunakan langkah-langkah dalam dokumen ini, bucket log baru yang dibuat di organisasi atau folder akan otomatis dikonfigurasi untuk CMEK. Selain itu, karena lokasi bucket log harus cocok dengan lokasi kunci, setelah mengonfigurasi CMEK sebagai setelan resource default, Anda tidak dapat membuat bucket log di region global.

  4. Pastikan peran IAM Anda di organisasi atau folder yang setelan defaultnya ingin Anda konfigurasi mencakup izin Cloud Logging berikut:

    • logging.settings.get
    • logging.settings.update

    5. Mengaktifkan CMEK untuk organisasi atau folder

    Ikuti petunjuk berikut untuk mengaktifkan CMEK bagi folder atau organisasiGoogle Cloud Anda.

    Menentukan ID akun layanan

    Untuk menentukan ID akun layanan yang terkait dengan organisasi atau folder tempat CMEK akan diterapkan, jalankan perintah gcloud logging settings describe berikut:

    FOLDER 

     gcloud logging settings describe --folder=FOLDER_ID

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    ORGANISASI 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    Perintah sebelumnya membuat akun layanan untuk organisasi atau folder, jika akun tersebut belum ada. Perintah ini juga menampilkan ID dua akun layanan, satu di kolom kmsServiceAccountId dan satu lagi di kolom loggingServiceAccountId. Untuk mengonfigurasi CMEK sebagai setelan default, gunakan nilai di kolom kmsServiceAccountId.

    Berikut menggambarkan contoh respons terhadap perintah sebelumnya saat organisasi ditentukan:

    kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.
name: organizations/ORGANIZATION_ID/settings

    Jalankan proses penyediaan satu kali per resource. Menjalankan perintah describe beberapa kali akan menampilkan nilai yang sama untuk kolom kmsServiceAccountId.

    Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API getSettings.

    Menetapkan peran Pengenkripsi/Pendekripsi

    Untuk menggunakan CMEK, berikan izin akun layanan untuk menggunakan Cloud KMS Anda dengan menetapkan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS ke akun layanan:

    gcloud 

    gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging. \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    • KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari Google Cloud nama project dan nomor yang ditetapkan secara acak, dari Google Cloud project yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
    • KMS_SERVICE_ACCT_NAME: Nama akun layanan yang ditampilkan di kolom kmsServiceAccountId dalam respons perintah gcloud logging settings describe.
    • KMS_KEY_LOCATION: Region kunci Cloud KMS.
    • KMS_KEY_RING: Nama key ring Cloud KMS.
    • KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

    Konsol

    1. Di konsol Google Cloud , buka halaman Pengelolaan kunci.

      Buka Key management

    2. Pilih nama key ring yang berisi kunci.

    3. Centang kotak untuk kunci.

      Tab Izin akan tersedia.

    4. Pada dialog Add members, tentukan alamat email akun layanan Logging yang Anda berikan akses.

    5. Di menu drop-down Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypte.

    6. Klik Tambahkan.

    Mengonfigurasi kebijakan organisasi

    Logging mendukung kebijakan organisasi yang dapat mewajibkan perlindungan CMEK dan dapat membatasi CryptoKey Cloud KMS yang dapat digunakan untuk perlindungan CMEK:

    • Jika logging.googleapis.com tercantum dalam daftar kebijakan layanan Deny untuk batasan constraints/gcp.restrictNonCmekServices, Logging akan menolak membuat bucket baru yang ditentukan pengguna yang tidak dilindungi CMEK. Namun, batasan ini tidak mencegah Cloud Logging membuat bucket log _Required dan _Default yang dibuat saat project Google Cloud dibuat.

    • Jika constraints/gcp.restrictCmekCryptoKeyProjects diterapkan, Logging akan membuat resource yang dilindungi CMEK yang dilindungi oleh CryptoKey dari project, folder, atau organisasi yang diizinkan.

    Untuk mengetahui informasi selengkapnya tentang CMEK dan kebijakan organisasi, lihat Kebijakan organisasi CMEK.

    Jika ada kebijakan organisasi yang menentukan batasan CMEK, pastikan batasan tersebut konsisten dengan setelan default Logging untuk organisasi atau folder. Selain itu, jika Anda berencana mengubah setelan default, sebelum Anda memperbarui setelan default, tinjau dan, jika perlu, perbarui kebijakan organisasi.

    Untuk melihat atau mengonfigurasi kebijakan organisasi, lakukan hal berikut:

    1. Di konsol Google Cloud , buka halaman Kebijakan Organisasi:

      Buka Kebijakan Organisasi

      Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah IAM & Admin.

    2. Pilih organisasi Anda.

    3. Verifikasi, dan jika perlu, perbarui batasan khusus CMEK.

      Untuk mengetahui informasi tentang cara mengubah kebijakan organisasi, lihat Membuat dan mengedit kebijakan.

    Mengonfigurasi Cloud Logging dengan kunci Cloud KMS

    Untuk mengonfigurasi CMEK sebagai setelan resource default untuk Logging, jalankan perintah gcloud logging settings update berikut:

    FOLDER 

    gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    • FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
    • KMS_KEY_LOCATION: Region kunci Cloud KMS.
    • KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
    • KMS_KEY_RING: Nama key ring Cloud KMS.
    • KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari Google Cloud nama project dan nomor yang ditetapkan secara acak, dari Google Cloud project yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.

    Perintah sebelumnya memperbarui setelan default untuk menyimpan informasi tentang kunci Cloud KMS. Anda harus memastikan bahwa lokasi penyimpanan default untuk folder ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menyetel lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, maka tambahkan perintah berikut ke perintah sebelumnya:

    --storage-location = KMS_KEY_LOCATION

    Flag --storage-location memungkinkan Anda menyetel atau memperbarui lokasi penyimpanan default untuk folder.

    ORGANISASI 

    gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    • ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
    • KMS_KEY_LOCATION: Region kunci Cloud KMS.
    • KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
    • KMS_KEY_RING: Nama key ring Cloud KMS.
    • KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari Google Cloud nama project dan nomor yang ditetapkan secara acak, dari Google Cloud project yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.

    Perintah sebelumnya memperbarui setelan default untuk menyimpan informasi tentang kunci Cloud KMS. Anda harus memastikan bahwa lokasi penyimpanan default untuk organisasi ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menyetel lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, maka tambahkan perintah berikut ke perintah sebelumnya:

    --storage-location = KMS_KEY_LOCATION

    Dengan tanda --storage-location, Anda dapat menetapkan atau memperbarui lokasi penyimpanan default untuk organisasi.

    Setelah kunci diterapkan, bucket log baru di organisasi atau folder dikonfigurasi untuk mengenkripsi data saat tidak digunakan menggunakan kunci ini. Anda juga dapat mengubah kunci untuk setiap bucket log. Anda tidak dapat membuat bucket log di region global karena Anda harus menggunakan kunci yang regionnya cocok dengan cakupan regional data Anda.

    Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API updateSettings.

    Memverifikasi pengaktifan kunci

    Untuk memverifikasi bahwa Anda telah berhasil mengaktifkan CMEK untuk organisasi atau folder, jalankan perintah gcloud logging settings describe berikut:

    FOLDER 

    gcloud logging settings describe --folder=FOLDER_ID

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    ORGANISASI 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    Jika perintah sebelumnya menampilkan nama kunci Cloud KMS diisi di kolom kmsKeyName, CMEK diaktifkan untuk organisasi atau folder:

    kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.

    Merutekan log ke tujuan yang didukung

    • Bucket log Cloud Logging dapat dikonfigurasi untuk mengenkripsi data dengan CMEK. Saat Anda mengonfigurasi CMEK sebagai setelan default untuk organisasi atau folder, bucket log baru di organisasi atau folder tersebut akan otomatis menggunakan CMEK. Anda dapat mengubah kunci bucket log ini dan membuat bucket log yang menggunakan kunci KMS yang berbeda dengan yang ditentukan oleh setelan default.

      Untuk mengetahui informasi tentang CMEK yang diterapkan pada bucket log, termasuk cara mengubah kunci dan batasan saat Anda mengaktifkan CMEK di bucket log, lihat Mengonfigurasi CMEK untuk bucket log.

    • Cloud Storage mendukung CMEK untuk merutekan log. Untuk mengetahui petunjuk tentang cara mengonfigurasi CMEK untuk Cloud Storage, lihat Menggunakan kunci enkripsi yang dikelola pelanggan.

      Jika data hilang karena kunci tidak tersedia saat merutekan data log ke Cloud Storage, Anda dapat menyalin log secara retroaktif dalam jumlah besar ke Cloud Storage jika log tersebut juga disimpan dalam bucket log. Untuk mengetahui detailnya, lihat Menyalin entri log.

    • Secara default, Pub/Sub mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Untuk mengetahui detailnya, lihat Mengonfigurasi enkripsi pesan.

    Mengelola kunci Cloud KMS Anda

    Bagian berikut menjelaskan cara mengubah, mencabut akses untuk, atau menonaktifkan kunci Cloud KMS Anda.

    Mengubah kunci Cloud KMS Anda

    Untuk mengubah kunci Cloud KMS yang terkait dengan organisasi atau folder, buat kunci, lalu jalankan perintah gcloud logging settings update dan berikan informasi tentang kunci Cloud KMS baru:

    FOLDER 

    gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

    Anda harus memastikan bahwa lokasi penyimpanan default untuk folder ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menyetel lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, maka tambahkan perintah berikut ke perintah sebelumnya:

    --storage-location = NEW_KMS_KEY_LOCATION

    ORGANISASI 

    gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

    Anda harus memastikan bahwa lokasi penyimpanan default untuk organisasi ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menyetel lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, maka tambahkan perintah berikut ke perintah sebelumnya:

    --storage-location = NEW_KMS_KEY_LOCATION

    Mencabut akses ke kunci Cloud KMS

    Anda dapat mencabut akses Logging ke kunci Cloud KMS dengan menghapus izin IAM akun layanan yang dikonfigurasi untuk kunci tersebut.

    Jika Anda menghapus akses Logging ke kunci, perubahan tersebut dapat memerlukan waktu hingga satu jam untuk diterapkan.

    Untuk mencabut akses Logging ke kunci Cloud KMS, jalankan perintah Google Cloud CLI berikut:

    gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging. \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    • KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari Google Cloud nama project dan nomor yang ditetapkan secara acak, dari Google Cloud project yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
    • KMS_SERVICE_ACCT_NAME: Nama akun layanan yang ditampilkan di kolom kmsServiceAccountId dalam respons perintah gcloud logging settings describe.
    • KMS_KEY_LOCATION: Region kunci Cloud KMS.
    • KMS_KEY_RING: Nama key ring Cloud KMS.
    • KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

    Menonaktifkan CMEK

    Menonaktifkan CMEK untuk organisasi atau folder akan menghapus penerapan kebijakan CMEK hanya untuk operasi mendatang; semua konfigurasi yang diterapkan sebelumnya tetap utuh.

    Untuk menonaktifkan CMEK pada resource yang telah mengonfigurasi CMEK sebagai setelan resource default, jalankan perintah Google Cloud CLI berikut:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    ORGANISASI 

    gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    Jika Anda ingin menghancurkan kunci, lihat Menghancurkan dan memulihkan versi kunci.

    Pertimbangan rotasi kunci Cloud KMS

    Cloud Logging tidak otomatis merotasi kunci enkripsi untuk file pemulihan bencana sementara saat kunci Cloud KMS yang terkait dengan organisasi atau folder dirotasi. Google Cloud File pemulihan yang ada akan terus menggunakan versi kunci yang digunakan untuk membuat file tersebut. File pemulihan baru menggunakan versi kunci utama saat ini.

    Batasan

    Berikut adalah batasan umum saat Anda mengonfigurasi CMEK sebagai setelan resource default untuk Logging.

    File pemulihan dari bencana tidak tersedia

    Kunci Cloud KMS dianggap tersedia dan dapat diakses oleh Logging jika kedua kondisi berikut terpenuhi:

    • Kunci diaktifkan.
    • Akun layanan yang tercantum dalam kolom kmsServiceAccountId dari respons perintah gcloud logging settings describe memiliki izin enkripsi dan dekripsi pada kunci.

    Jika Logging kehilangan akses ke kunci Cloud KMS, maka Logging tidak dapat menulis file pemulihan bencana sementara dan, bagi pengguna, kueri berhenti berfungsi. Performa kueri mungkin tetap menurun meskipun akses kunci dipulihkan.

    Merutekan log ke Cloud Storage juga dapat terpengaruh karena Logging tidak dapat menulis file sementara yang diperlukan untuk memfasilitasi perutean. Jika terjadi error saat mengenkripsi atau mendekripsi data, notifikasi akan dikirim ke project Google Cloud yang berisi kunci Cloud KMS.

    Ketersediaan library klien

    Library klien Logging tidak menyediakan metode untuk mengonfigurasi CMEK.

    Penurunan kualitas karena kunci Cloud EKM tidak tersedia

    Saat Anda menggunakan kunci Cloud EKM, Google tidak memiliki kontrol atas ketersediaan kunci yang dikelola secara eksternal di sistem partner pengelolaan kunci eksternal.

    Jika CMEK dikonfigurasi sebagai setelan resource default untuk organisasi atau folder, dan kunci yang dikelola secara eksternal tidak tersedia, maka Cloud Logging akan terus mencoba mengakses kunci tersebut. Cloud Logging juga melakukan buffering data log yang masuk hingga satu jam. Setelah satu jam, jika Cloud Logging masih tidak dapat mengakses kunci yang dikelola secara eksternal, maka Cloud Logging akan mulai menghapus data.

    Jika CMEK diterapkan ke bucket log dan jika kunci yang dikelola secara eksternal tidak tersedia, maka Cloud Logging akan terus menyimpan log di bucket log, tetapi pengguna tidak akan dapat mengakses data tersebut.

    Lihat dokumentasi Cloud External Key Manager untuk mengetahui pertimbangan lainnya, dan potensi alternatif, saat menggunakan kunci eksternal.

    Batasan pada bucket log

    Untuk mengetahui batasan saat Anda menggunakan CMEK dengan bucket log, lihat Batasan.

    Kuota

    Untuk mengetahui detail tentang batas penggunaan Logging, lihat Kuota dan batas.

    Memecahkan masalah error konfigurasi

    Untuk mengetahui informasi tentang cara memecahkan masalah error konfigurasi CMEK, lihat Memecahkan masalah error CMEK dan setelan default.