EKM 사용량 모니터링

Cloud Monitoring을 사용하여 외부 키 관리자 (EKM) 연결을 모니터링할 수 있습니다. 다음 측정항목은 EKM 사용량을 이해하는 데 도움이 될 수 있습니다.

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

이 페이지에서는 요청 수 및 지연 시간 등 Cloud EKM 키 및 외부 키 관리자 연결과 관련된 측정항목을 추적하는 대시보드를 만드는 방법을 보여줍니다. 이러한 측정항목에 대한 자세한 내용은 cloudkms metrics를 참조하세요. 다음 섹션에 설명된 대시보드 생성 프로세스에 대한 자세한 내용은 API로 대시보드 관리를 참조하세요.

시작하기 전에

이 페이지의 안내에서는 다음을 가정합니다.

• EKM 연결 한 개, 외부 키 한 개 이상을 포함하여 프로젝트에 설정된 Cloud EKM이 있습니다.

필요한 역할

gcloud CLI를 사용하여 대시보드를 만드는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

• 모니터링 대시보드 구성 편집자(roles/monitoring.dashboardEditor)
• 서비스 사용량 소비자(roles/serviceusage.serviceUsageConsumer)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 gcloud CLI를 사용하여 대시보드를 만드는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

gcloud CLI를 사용하여 대시보드를 만들려면 다음 권한이 필요합니다.

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

EKM을 모니터링하기 위한 대시보드 만들기

EKM 상태를 모니터링하려면 요청 수와 지연 시간을 모니터링하는 대시보드를 만듭니다.

1. 대시보드 구성(ekm-dashboard.json)을 다운로드합니다

2. 다음 명령어를 실행하여 구성 파일로 커스텀 대시보드를 만듭니다.

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

EKM 대시보드 보기

1. Google Cloud 콘솔에서 Monitoring 페이지로 이동하거나 다음 버튼을 사용합니다.

   Monitoring으로 이동

2. 리소스 > 대시보드를 선택하고 Cloud KMS EKM이라는 대시보드를 봅니다.

EKM 측정항목에 대한 알림 정책 만들기

gcloud CLI를 사용하여 다음 단계를 완료합니다.

1. EKM 측정항목 알림을 수신할 알림 채널을 선택합니다.

   • 기존 알림 채널을 사용하려면 먼저 채널을 확인합니다.

     gcloud beta monitoring channels list
     

     목록에서 채널을 선택합니다. 나중에 필요하므로 알림 채널 ID를 기록해 둡니다.

   • 새 알림 채널을 사용하려면 이메일 주소를 사용하여 채널을 만듭니다.

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     성공하면 이 명령어는 새 채널의 이름을 반환합니다. 나중에 필요하므로 알림 채널 ID를 기록해 둡니다. 출력은 다음과 비슷합니다.

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. monitoring policies create 명령어를 사용하여 알림 정책을 만듭니다.

       gcloud alpha monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   다음을 바꿉니다.

   • NOTIFICATION_CHANNEL_ID: 알림 채널의 ID입니다.
   • LOCATION: 이 측정항목에 관해 알림을 보내려는 리전입니다. 리전에 관계없이 알림을 보내려면 metric.labels.ekm_service_region을 생략합니다.
   • LABEL_METHOD: 알림을 보내려는 method 라벨입니다(예: wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo, getPublicKey). 측정항목 탐색기를 사용하여 측정항목 라벨을 살펴볼 수 있습니다.

다음 단계

• 측정항목 탐색기를 사용하여 다양한 측정항목 측정기준의 데이터를 탐색하기
• 선택사항: 알림 정책을 만들기