Monitorare l'utilizzo dell'EKM

Puoi utilizzare Cloud Monitoring per monitorare il gestore di chiavi esterno (EKM) connessione. Le seguenti metriche possono aiutarti a comprendere l'utilizzo di EKM:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

Questa pagina mostra come creare una dashboard per monitorare le metriche relative al tuo Chiavi Cloud EKM e connessione al gestore di chiavi esterno, come la richiesta conteggi e latenze. Per ulteriori informazioni su queste metriche, consulta Metriche cloudkms. Per ulteriori informazioni sulla procedura di creazione delle dashboard descritta nelle sezioni seguenti, consulta Gestire le dashboard tramite API.

Prima di iniziare

I passaggi in questa pagina presuppongono quanto segue:

• Hai già configurato Cloud EKM in un progetto, inclusa una connessione EKM e una o più chiavi esterne.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare dashboard utilizzando la CLI gcloud, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

• Monitoring Dashboard Configuration Editor (roles/monitoring.dashboardEditor)
• Consumatore di utilizzo del servizio (roles/serviceusage.serviceUsageConsumer)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per creare dashboard utilizzando gcloud CLI. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:

Autorizzazioni obbligatorie

Per creare dashboard utilizzando gcloud CLI:

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Crea una dashboard per monitorare il tuo EKM

Per monitorare lo stato dell'EKM, crea una dashboard che monitori le tue conteggio e latenze delle richieste:

1. Scarica la configurazione della dashboard: ekm-dashboard.json.

2. Crea una dashboard personalizzata con il file di configurazione eseguendo il seguente comando:

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

Visualizzare la dashboard EKM

1. Nella console Google Cloud, vai alla pagina Monitoraggio o utilizza il pulsante seguente:

   Vai a Monitoring

2. Seleziona Risorse > Dashboard e visualizza la dashboard denominata Cloud KMS EKM.

Crea un criterio di avviso per le metriche EKM

Completa i seguenti passaggi utilizzando gcloud CLI:

1. Seleziona un canale di notifica per ricevere avvisi sulle metriche EKM.

   • Per utilizzare un canale di notifica esistente, visualizza prima i tuoi canali:

     gcloud beta monitoring channels list
     

     Scegli un canale dall'elenco. Prendi nota del canale di notifica ID; ne avrai bisogno in seguito.

   • Per utilizzare un nuovo canale di notifica, crea il canale via email indirizzo:

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     In caso di esito positivo, questo comando restituisce il nome del nuovo canale. Prendi nota dell'ID canale di notifica, ti servirà in seguito. L'output è simile al seguente:

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Crea un criterio di avviso utilizzando il comando monitoring policies create:

       gcloud alpha monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Sostituisci quanto segue:

   • NOTIFICATION_CHANNEL_ID: l'ID del canale di notifica.
   • LOCATION: la regione per cui vuoi ricevere un avviso per questa metrica. Se vuoi inviare un avviso indipendentemente dalla regione, ometti metric.labels.ekm_service_region.
   • LABEL_METHOD: l'etichetta method per la quale vuoi ricevere un avviso, ad esempio wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo o getPublicKey. Puoi utilizzare Metrics Explorer per esplorare le etichette delle metriche.

Passaggi successivi

• Esplora i dati in varie dimensioni delle metriche utilizzando Metrics Explorer.
• (Facoltativo) Crea criteri di avviso.