Diese Seite wurde von der Cloud Translation API übersetzt.

EKM-Nutzung überwachen

Sie können Ihren External Key Manager (EKM) mit Cloud Monitoring überwachen Anhand der folgenden Messwerte können Sie die Nutzung von EKM besser nachvollziehen:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Auf dieser Seite erfahren Sie, wie Sie ein Dashboard erstellen, um Messwerte in Bezug auf Ihre Cloud EKM-Schlüssel und Verbindung zum externen Schlüsselverwaltungssystem (z. B. Anfrage) Zählungen und Latenzen. Weitere Informationen zu diesen Messwerten finden Sie unter cloudkms-Messwerte: Weitere Informationen Informationen zum Erstellen des Dashboards, wie im Folgenden beschrieben finden Sie unter Dashboards nach API verwalten

Hinweis

Bei den Schritten auf dieser Seite wird Folgendes vorausgesetzt:

Sie haben Cloud EKM bereits in einem Projekt eingerichtet, einschließlich einer EKM-Verbindung und eines oder mehrerer externer Schlüssel.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Dashboards mit der gcloud CLI benötigen:

Bearbeiter von Monitoring-Dashboard-Konfigurationen (roles/monitoring.dashboardEditor)
Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Erstellen von Dashboards mit der gcloud CLI erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Dashboards mit der gcloud CLI zu erstellen:

monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.update
serviceusage.services.use

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Dashboard zum Überwachen Ihrer EKM erstellen

Wenn Sie den Status Ihres EKM überwachen möchten, erstellen Sie ein Dashboard, das die Anzahl der Anfragen und die Latenzen überwacht:

Laden Sie die Dashboard-Konfiguration herunter: ekm-dashboard.json.
Erstellen Sie mithilfe des folgenden Befehls ein benutzerdefiniertes Dashboard mit der Konfigurationsdatei:
```
gcloud monitoring dashboards create \
--config-from-file=ekm-dashboard.json
```

EKM-Dashboard aufrufen

Rufen Sie in der Google Cloud Console die Seite Monitoring auf oder verwenden Sie die folgende Schaltfläche:

Zu Monitoring
Wählen Sie Ressourcen > Dashboards aus und rufen Sie das Dashboard auf. mit dem Namen Cloud KMS EKM.

Benachrichtigungsrichtlinie für EKM-Messwerte erstellen

Führen Sie die folgenden Schritte mit der gcloud CLI aus:

Wählen Sie einen Benachrichtigungskanal aus, um Benachrichtigungen zu EKM-Messwerten zu erhalten.
- Wenn Sie einen vorhandenen Benachrichtigungskanal verwenden möchten, müssen Sie sich zuerst Ihre Kanäle ansehen:
```
gcloud beta monitoring channels list
```
  Wählen Sie einen Kanal aus der Liste aus. Notieren Sie sich die ID des Benachrichtigungskanals. Sie benötigen sie später.
- Wenn Sie einen neuen Benachrichtigungskanal verwenden möchten, erstellen Sie ihn mit einer E-Mail-Adresse:
```
gcloud beta monitoring channels create \
--display-name="Notification channel for EKM latency alert" \
--description="This notification channel receives EKM latency metric alerts" \
--type=email \
--channel-labels=email_address=NOTIFICATION_EMAIL
```
  Bei Erfolg gibt dieser Befehl den Namen des neuen Kanals zurück. Notieren Sie sich die ID des Benachrichtigungskanals. Sie benötigen sie später. Die Ausgabe sieht etwa so aus:
```
Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
```

Erstellen Sie mit dem Befehl monitoring policies create eine Benachrichtigungsrichtlinie:

    gcloud alpha monitoring policies create \
        --notification-channels=NOTIFICATION_CHANNEL_ID \
        --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
        --condition-display-name="EKM Request Latency > 150ms" \
        --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                            metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                            metric.labels.ekm_service_region="LOCATION"
                            metric.labels.method="LABEL_METHOD"' \
        --duration="0s" \
        --if="> 150" \
        --display-name="EKM metric latency alert" \
        --trigger-count=1 \
        --combiner='AND'

Ersetzen Sie Folgendes:

NOTIFICATION_CHANNEL_ID: die ID des Benachrichtigungskanals.
LOCATION: die Region, für die Sie Benachrichtigungen zu diesem Messwert erhalten möchten. Wenn Sie unabhängig von der Region benachrichtigt werden möchten, lassen Sie metric.labels.ekm_service_region
LABEL_METHOD: das method-Label, das Sie verwenden möchten Benachrichtigung aktiviert, z. B. wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo oder getPublicKey. Mit dem Metrics Explorer können Sie Messwertlabels.