Surveiller l'utilisation des EKM

Vous pouvez utiliser Cloud Monitoring pour surveiller votre gestionnaire de clés externe (EKM) . Les métriques suivantes peuvent vous aider à comprendre votre utilisation des EKM:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

Cette page vous explique comment créer un tableau de bord pour suivre les métriques liées à votre Clés Cloud EKM et connexion à un gestionnaire de clés externe, comme les requêtes les nombres et les latences. Pour en savoir plus sur ces métriques, consultez métriques cloudkms. Pour plus des informations sur le processus de création d'un tableau de bord décrit dans les consultez l'article Gérer les tableaux de bord à l'aide d'API

Avant de commencer

Les étapes décrites sur cette page supposent ce qui suit :

• Vous avez déjà configuré Cloud EKM dans un projet, y compris une connexion EKM et une ou plusieurs clés externes.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer des tableaux de bord à l'aide de la CLI gcloud, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

• Éditeur de configuration du tableau de bord Monitoring (roles/monitoring.dashboardEditor)
• Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour créer des tableaux de bord à l'aide de la CLI gcloud. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour créer des tableaux de bord à l'aide de la gcloud CLI :

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un tableau de bord pour surveiller votre EKM

Pour surveiller l'état de votre EKM, créez un tableau de bord qui surveille le nombre de requêtes et les latences :

1. Téléchargez la configuration du tableau de bord : ekm-dashboard.json.

2. Créez un tableau de bord personnalisé avec le fichier de configuration en exécutant la commande suivante :

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

Afficher votre tableau de bord EKM

1. Dans la console Google Cloud, accédez à la page Monitoring ou utilisez le bouton suivant:

   Accéder à Monitoring

2. Sélectionnez Ressources > Tableaux de bord, puis affichez le tableau de bord. nommé Cloud KMS EKM.

Créer une règle d'alerte pour les métriques EKM

Effectuez les étapes suivantes à l'aide de la gcloud CLI :

1. Sélectionnez un canal de notification pour recevoir des alertes sur les métriques EKM.

   • Pour utiliser un canal de notification existant, commencez par afficher vos canaux :

     gcloud beta monitoring channels list
     

     Sélectionnez une chaîne dans la liste. Notez le canal de notification ID vous en aurez besoin plus tard.

   • Pour utiliser un nouveau canal de notification, créez-le à l'aide d'une adresse e-mail :

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     Si l'opération réussit, la commande renvoie le nom du nouveau canal. Marque Notez l'ID du canal de notification. vous en aurez besoin plus tard. Le résultat ressemble à ce qui suit :

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Créez une règle d'alerte à l'aide de la commande monitoring policies create:

       gcloud alpha monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Remplacez les éléments suivants :

   • NOTIFICATION_CHANNEL_ID : ID du canal de notification.
   • LOCATION: région pour laquelle vous souhaitez alerter la métrique. Si vous souhaitez envoyer une alerte quelle que soit la région, omettez metric.labels.ekm_service_region.
   • LABEL_METHOD: libellé method que vous souhaitez alerte activée, par exemple, wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo ou getPublicKey Vous pouvez utiliser l'Explorateur de métriques pour explorer étiquettes de métriques.

Étape suivante

• Explorez vos données à travers différentes dimensions de métriques à l'aide de l'explorateur de métriques.
• Facultatif : Créez des règles d'alerte.