Menggunakan Cloud Monitoring dengan Cloud KMS

Cloud Monitoring dapat digunakan untuk memantau operasi yang dilakukan pada resource di Cloud Key Management Service.

Topik ini memberikan:

  • contoh untuk memantau kapan versi kunci dijadwalkan untuk dimusnahkan
  • informasi tentang pemantauan resource dan operasi Cloud KMS lainnya

Sebelum memulai

Jika Anda belum melakukannya, siapkan project Google Cloud yang telah mengaktifkan Cloud Key Management Service API. Langkah-langkah ini didokumentasikan dalam Panduan Memulai Cloud KMS.

Membuat metrik penghitung

Gunakan perintah gcloud logging metrics create untuk membuat metrik penghitung yang akan memantau terjadinya penghancuran terjadwal suatu versi kunci.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Anda dapat mencantumkan metrik penghitung menggunakan perintah gcloud logging metrics list:

gcloud logging metrics list

Untuk mengetahui informasi selengkapnya tentang cara membuat metrik penghitung, termasuk melalui Google Cloud Console dan Monitoring API, lihat Membuat metrik penghitung.

Membuat kebijakan pemberitahuan

Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.

  1. Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih  Alerting:

    Buka Alerting

  2. ika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
  3. Dari halaman Alerting, pilih Create policy.
  4. Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
    1. Untuk membatasi menu pada entri yang relevan, masukkan key_version ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif.
    2. Untuk Resource type, pilih Global.
    3. Untuk Metric category, pilih Logs-Based Metric.
    4. Untuk Metric, pilih logging/user/key_version_destruction.
    5. Pilih Apply.
  5. Klik Next.
  6. Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu. Lengkapi halaman ini dengan setelan dalam tabel berikut.
    Halaman Konfigurasi pemicu pemberitahuan
    Kolom
    Nilai
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. Klik Next.
  8. Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
  9. Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
  10. Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
  11. Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
  12. Klik Create Policy.
Untuk mengetahui informasi selengkapnya, lihat Kebijakan pemberitahuan.

Untuk menguji notifikasi baru, jadwalkan versi kunci untuk dimusnahkan, lalu periksa email Anda untuk melihat apakah notifikasi tersebut telah dikirim.

Pemberitahuan ini akan dipicu setiap kali versi kunci dijadwalkan untuk dihancurkan. Perhatikan bahwa pemberitahuan akan otomatis diselesaikan (meskipun versi kunci tetap dijadwalkan untuk dimusnahkan), sehingga akan ada dua notifikasi email, satu untuk penghancuran terjadwal, dan satu untuk pemberitahuan yang sedang diselesaikan.

Untuk mengetahui informasi selengkapnya tentang kebijakan pemberitahuan, lihat Pengantar pemberitahuan. Untuk mempelajari cara mengaktifkan, menonaktifkan, mengedit, menyalin, atau menghapus kebijakan pemberitahuan, lihat Mengelola kebijakan.

Untuk mengetahui informasi tentang berbagai jenis notifikasi, lihat Opsi notifikasi.

Memantau aktivitas administratif vs. akses data

Penghancuran versi kunci terjadwal merupakan aktivitas administrator. Aktivitas administrator dicatat secara otomatis. Jika Anda ingin membuat pemberitahuan untuk akses data resource Cloud KMS, misalnya memantau saat kunci digunakan untuk enkripsi, Anda harus mengaktifkan log Akses Data, lalu membuat kebijakan pemberitahuan seperti yang dijelaskan dalam topik ini.

Untuk mengetahui informasi selengkapnya tentang logging aktivitas administratif Cloud KMS dan akses data, lihat Menggunakan Cloud Audit Logs dengan Cloud KMS.

Metrik kuota kapasitas

Cloud KMS mendukung metrik kuota kapasitas berikut:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Untuk mengetahui informasi tentang pemantauan kuota ini menggunakan Cloud Monitoring, lihat Memantau metrik kuota.

Langkah selanjutnya