En esta página se explica cómo usar Pub/Sub para crear notificaciones sobre los cambios de estado de los recursos de Cloud KMS.
Antes de empezar
Para habilitar las APIs, conceder los permisos necesarios y crear un tema de Pub/Sub, sigue las instrucciones de la sección Antes de empezar del artículo "Monitorizar cambios en los recursos".
Configurar un feed
Configure un feed que monitorice el tipo de cambios y recursos que le interesen.
Notificar todos los cambios en los recursos
Para crear un feed, usa el comando gcloud asset feeds create.
gcloud asset feeds create FEED_NAME \ --project=PROJECT_ID \ --asset-types="RESOURCE_TYPE" \ --pubsub-topic="PUBSUB_TOPIC"
Haz los cambios siguientes:
FEED_NAME: nombre que se usará para tu feed de Pub/Sub.PROJECT_ID: el ID del proyecto de Cloud KMS que quieres monitorizar.RESOURCE_TYPE: los tipos de recursos de los que quieres recibir notificaciones. Usa comas entre los tipos de recursos. Por ejemplo,cloudkms.googleapis.com/CryptoKey,cloudkms.googleapis.com/CryptoKeyVersion. Puedes enviar notificaciones sobre cualquier tipo de recurso admitido, incluidos los siguientes:cloudkms.googleapis.com/CryptoKeycloudkms.googleapis.com/CryptoKeyVersioncloudkms.googleapis.com/EkmConnectioncloudkms.googleapis.com/ImportJobcloudkms.googleapis.com/KeyRing
PUBSUB_TOPIC: nombre del tema de Pub/Sub que has creado en Antes de empezar
De esta forma, se crea una notificación cuando se crean o actualizan recursos del tipo indicado. La notificación indica que el recurso se ha actualizado, pero no incluye información detallada sobre la actualización. Por ejemplo, una notificación de actualización de una CryptoKeyVersion puede significar que la versión se ha convertido en la principal o que se ha programado su eliminación. Cuando recibas una notificación de que se ha actualizado un recurso, debes comprobarlo para ver su estado actual.
Notificar cambios en recursos específicos
Para crear un feed con una condición, usa el comando gcloud asset feeds create con la marca --condition-expression.
gcloud asset feeds create FEED_NAME \ --project=PROJECT_ID \ --asset-types="RESOURCE_TYPE" \ --pubsub-topic="PUBSUB_TOPIC" \ --condition-expression="CONDITION_EXPRESSION"
Haz los cambios siguientes:
FEED_NAME: nombre que se usará para tu feed de Pub/Sub.PROJECT_ID: el ID de tu proyecto de Cloud KMS.RESOURCE_TYPE: el tipo de recurso del que quieres recibir notificaciones (por ejemplo,cloudkms.googleapis.com/CryptoKeyVersion). Puedes enviar notificaciones sobre cualquier tipo de recurso admitido, incluidos los siguientes:cloudkms.googleapis.com/CryptoKeycloudkms.googleapis.com/CryptoKeyVersioncloudkms.googleapis.com/EkmConnectioncloudkms.googleapis.com/ImportJobcloudkms.googleapis.com/KeyRing
PUBSUB_TOPIC: nombre del tema de Pub/Sub que has creado en Antes de empezarCONDITION_EXPRESSION: expresión de condición en lenguaje de expresión común (CEL). Por ejemplo,"folders/FOLDER_NUMBER" in temporal_asset.asset.ancestorshace que el feed solo cree notificaciones cuando el recurso indicado se encuentre en la carpetaFOLDER_NUMBER.
De esta forma, se crea una notificación cuando se creen, eliminen o actualicen recursos del tipo indicado que coincidan con la expresión de condición especificada.