使用 Pub/Sub 監控狀態變更

本頁面說明如何使用 Pub/Sub 建立 Cloud KMS 資源狀態變更通知。

事前準備

如要啟用 API、授予必要權限，以及建立 Pub/Sub 主題，請按照「監控資產變更」一節中「開始前」的操作說明進行。

設定動態饋給

設定動態饋給，監控您感興趣的變更類型和資源。

針對所有資源變更發出通知

如要建立動態饋給，請使用 gcloud asset feeds create 指令。

gcloud asset feeds create FEED_NAME \
  --project=PROJECT_ID  \
  --asset-types="RESOURCE_TYPE" \
  --pubsub-topic="PUBSUB_TOPIC"

更改下列內容：

• FEED_NAME：Pub/Sub 動態饋給的名稱。
• PROJECT_ID：您要監控的 Cloud KMS 專案 ID。

• RESOURCE_TYPE：您要接收通知的資源類型。請在資源類型之間使用半形逗號，例如 cloudkms.googleapis.com/CryptoKey,cloudkms.googleapis.com/CryptoKeyVersion。您可以針對任何支援的資源類型發出通知，包括：

  • cloudkms.googleapis.com/CryptoKey
  • cloudkms.googleapis.com/CryptoKeyVersion
  • cloudkms.googleapis.com/EkmConnection
  • cloudkms.googleapis.com/ImportJob
  • cloudkms.googleapis.com/KeyRing

• PUBSUB_TOPIC：您在「開始前」建立的 Pub/Sub 主題名稱

在建立或更新指定類型的資源時，這會建立通知。通知會指出資源已更新，但不會包含更新的詳細資訊。舉例來說，CryptoKeyVersion 的更新通知可能表示該版本已設為主要版本，或是已安排刪除作業。收到資源更新通知時，請檢查資源，找出目前狀態。

在特定資源發生變更時通知

如要建立含有條件的動態饋給，請使用 gcloud asset feeds create 指令搭配 --condition-expression 旗標。

gcloud asset feeds create FEED_NAME \
  --project=PROJECT_ID  \
  --asset-types="RESOURCE_TYPE" \
  --pubsub-topic="PUBSUB_TOPIC" \
  --condition-expression="CONDITION_EXPRESSION"

更改下列內容：

• FEED_NAME：Pub/Sub 動態饋給的名稱。
• PROJECT_ID：Cloud KMS 專案的 ID。

• RESOURCE_TYPE：您要接收通知的資源類型，例如 cloudkms.googleapis.com/CryptoKeyVersion。您可以針對任何支援的資源類型發出通知，包括：

  • cloudkms.googleapis.com/CryptoKey
  • cloudkms.googleapis.com/CryptoKeyVersion
  • cloudkms.googleapis.com/EkmConnection
  • cloudkms.googleapis.com/ImportJob
  • cloudkms.googleapis.com/KeyRing

• PUBSUB_TOPIC：您在「開始前」建立的 Pub/Sub 主題名稱

• CONDITION_EXPRESSION：一般運算語言 (CEL) 中的條件運算式。舉例來說，"folders/FOLDER_NUMBER" in temporal_asset.asset.ancestors 會讓動態饋給只在指定資源位於資料夾 FOLDER_NUMBER 時建立通知。

當系統建立、刪除或更新符合指定條件運算式的指定類型資源時，就會建立通知。