Memantau penggunaan EKM

Anda dapat menggunakan Cloud Monitoring untuk memantau koneksi external key manager (EKM). Metrik berikut dapat membantu Anda memahami penggunaan EKM:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

Halaman ini menunjukkan cara membuat dasbor untuk melacak metrik yang terkait dengan kunci EKM Cloud dan koneksi pengelola kunci eksternal, seperti jumlah permintaan dan latensi. Untuk informasi selengkapnya tentang metrik ini, lihat metrik cloudkms. Untuk informasi selengkapnya tentang proses pembuatan dasbor yang dijelaskan di bagian berikut, lihat Mengelola dasbor menurut API.

Sebelum memulai

Langkah-langkah di halaman ini mengasumsikan hal berikut:

• Anda telah menyiapkan Cloud EKM di project, termasuk koneksi EKM dan satu atau beberapa kunci eksternal.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna membuat dasbor menggunakan gcloud CLI, minta administrator untuk memberi Anda peran IAM berikut di project Anda:

• Monitoring Dashboard Configuration Editor (roles/monitoring.dashboardEditor)
• Pelanggan Service Usage (roles/serviceusage.serviceUsageConsumer)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dasbor menggunakan gcloud CLI. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dasbor menggunakan gcloud CLI:

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Membuat dasbor untuk memantau EKM

Untuk memantau status EKM, buat dasbor yang memantau jumlah permintaan dan latensi:

1. Download konfigurasi dasbor: ekm-dashboard.json.

2. Buat dasbor kustom dengan file konfigurasi dengan menjalankan perintah berikut:

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

Melihat dasbor EKM

1. Di konsol Google Cloud, buka halaman Monitoring, atau gunakan tombol berikut:

   Buka Monitoring

2. Pilih Resources > Dashboards dan lihat dasbor bernama Cloud KMS EKM.

Membuat kebijakan pemberitahuan untuk metrik EKM

Selesaikan langkah-langkah berikut menggunakan gcloud CLI:

1. Pilih saluran notifikasi untuk menerima pemberitahuan metrik EKM.

   • Untuk menggunakan saluran notifikasi yang ada, lihat channel Anda terlebih dahulu:

     gcloud beta monitoring channels list
     

     Pilih channel dari daftar. Catat ID saluran notifikasi; Anda akan memerlukannya nanti.

   • Untuk menggunakan saluran notifikasi baru, buat saluran menggunakan alamat email:

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     Jika berhasil, perintah ini akan menampilkan nama channel baru. Catat ID saluran notifikasi karena Anda akan memerlukannya nanti. Outputnya mirip dengan yang berikut ini:

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Buat kebijakan pemberitahuan menggunakan perintah monitoring policies create:

       gcloud alpha monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Ganti kode berikut:

   • NOTIFICATION_CHANNEL_ID: ID saluran notifikasi.
   • LOCATION: region tempat Anda ingin mendapatkan pemberitahuan tentang metrik ini. Jika Anda ingin mengirim pemberitahuan terlepas dari wilayah, hapus metric.labels.ekm_service_region.
   • LABEL_METHOD: label method yang ingin Anda kirimi pemberitahuan—misalnya, wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo, atau getPublicKey. Anda dapat menggunakan Metrics Explorer untuk menjelajahi label metrik.

Langkah selanjutnya

• Jelajahi data Anda di berbagai dimensi metrik menggunakan Metrics Explorer.
• Opsional: Buat kebijakan pemberitahuan.