- VPC Service Control이 있는 경우, Org -> GCP Project log 라우터가 권한 차단이 된다.
- 하지만 VPC Service Control에 Org/Folder 를 등록이 불가능하다.
- 폴더 수준 또는 조직 수준에서 Logging 권한을 관리하려면 IAM을 사용하는 것이 좋다.
- 조직 수준이나 폴더 수준 로그 싱크를 사용하여 로그를 서비스 경계가 보호하는 리소스에 라우팅하는 경우 인그레스 규칙을 서비스 경계에 추가해야 한다.
https://cloud.google.com/vpc-service-controls/docs/supported-products?hl=ko#logging
- 인그레스 규칙은 로그 싱크에서 사용하는 서비스 계정의 리소스에 대한 액세스를 허용해야 한다.
- 로그 싱크를 만들면 서비스계정이 만들어지는 것으로 보이며, 싱크를 만든 이후 서비스 계정 이름을 가져와야한다.
gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID
- 이 경우, 이 이메일 주소가 스팸봇으로부터 보호됩니다. 확인하려면 자바스크립트 활성화가 필요합니다. 와 같을 수 있다.
https://cloud.google.com/logging/docs/central-log-storage?hl=ko#create-org-sink
