Utilizzo di Cloud Monitoring con Cloud KMS

Cloud Monitoring consente di monitorare le operazioni eseguite in Cloud Key Management Service.

Questo argomento fornisce:

  • un esempio per il monitoraggio quando è pianificata l'eliminazione di una versione della chiave
  • informazioni sul monitoraggio di altre risorse Cloud KMS suite operativa

Prima di iniziare

Se non l'hai ancora fatto, configurare un progetto Google Cloud in cui è abilitata l'API Cloud Key Management Service. Questi passaggi sono documentati nella guida rapida di Cloud KMS.

Creare una metrica contatore

Utilizza il comando gcloud logging metrics create per creare una metrica contatore. che monitorerà qualsiasi occorrenza dell'eliminazione pianificata di una versione della chiave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Puoi elencare le metriche dei contatori utilizzando lo gcloud logging metrics list. :

gcloud logging metrics list

Per ulteriori informazioni sulla creazione di una metrica contatore, anche tramite la console Google Cloud e API Monitoring, consulta Creazione di una metrica dei contatori.

Crea un criterio di avviso

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere notifiche quando queste metriche violano una condizione.

  1. Nella console Google Cloud, vai alla Pagina Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna a Avvisi dopo aver aggiunto i canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi segui questi passaggi:
    1. Per limitare il menu alle voci pertinenti, inserisci key_version nella barra dei filtri. Se non ci sono risultati dopo aver filtrato il menu, disattiva fai clic su Mostra solo risorse attive pulsante di attivazione/disattivazione delle metriche.
    2. In Tipo di risorsa, seleziona Globale.
    3. Per Categoria di metrica, seleziona Metrica basata su log.
    4. Per Metrica, seleziona logging/user/key_version_destruction.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura trigger di avviso determinano quando l'avviso viene attivato. Completa questa pagina con le impostazioni riportate nella seguente tabella.
    Configura trigger di avviso pagina
    Campo
    Valore
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona una o più notifiche canali dal menu, quindi fai clic su OK.
  9. (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione, quindi aggiungi le eventuali informazioni da includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per ulteriori informazioni, consulta Criteri di avviso.

Per testare la nuova notifica, pianifica l'eliminazione di una versione della chiave e quindi controlla la tua email per vedere se la notifica è stata inviata.

Questo avviso viene attivato ogni volta che è stata pianificata l'eliminazione di una versione della chiave. Tieni presente che l'avviso verrà risolto automaticamente (anche se la versione della chiave rimarrà pianificata per l'eliminazione), quindi verranno inviate due email notifiche, una per l'eliminazione pianificata e una per l'avviso risolto.

Per ulteriori informazioni sui criteri di avviso, consulta Introduzione agli avvisi. A scopri come attivare, disattivare, modificare, copiare o eliminare un criterio di avviso; consulta Gestione dei criteri.

Per informazioni sui diversi tipi di notifiche, vedi Opzioni di notifica.

Confronto tra le attività amministrative e l'accesso ai dati

L'eliminazione pianificata di una versione della chiave è un'attività di amministratore. Le attività degli amministratori vengono registrate automaticamente. Se vuoi creare un'istanza avviso di accesso ai dati di una risorsa Cloud KMS, ad esempio monitoraggio Quando una chiave viene utilizzata per la crittografia, devi abilitare i log di accesso ai dati e e un criterio di avviso, come descritto in questo argomento.

Per ulteriori informazioni sul logging delle attività amministrative di Cloud KMS attività e accesso ai dati, consulta Utilizzo di Cloud Audit Logs con Cloud KMS.

Metriche della quota di frequenza

Cloud KMS supporta le seguenti metriche relative alla quota di frequenza:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Per informazioni sul monitoraggio di queste quote utilizzando Cloud Monitoring, consulta Monitoraggio delle metriche della quota.

Passaggi successivi