Usar o Cloud Monitoring com o Cloud KMS

O Cloud Monitoring pode ser usado para monitorizar as operações realizadas em recursos no Cloud Key Management Service.

Este tópico fornece:

  • Um exemplo de monitorização quando uma versão de chave está agendada para destruição
  • informações sobre a monitorização de outros recursos e operações do Cloud KMS

Antes de começar

Se ainda não o tiver feito, configure um Google Cloud projeto que tenha a API Cloud Key Management Service ativada. Estes passos estão documentados no início rápido do Cloud KMS.

Crie uma métrica de contador

Use o comando gcloud logging metrics create para criar uma métrica de contador que monitorize qualquer ocorrência da destruição agendada de uma versão principal.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Pode listar as métricas de contador com o comando gcloud logging metrics list 

gcloud logging metrics list

Para mais informações sobre como criar uma métrica de contador, inclusive através da Google Cloud consola e da API Monitoring, consulte Criar uma métrica de contador.

Crie uma política de alerta

Pode criar políticas de alerta para monitorizar os valores das métricas e receber uma notificação quando essas métricas violarem uma condição.

  1. Na Google Cloud consola, aceda à página  Alertas:

    Aceder a Alertas

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

  2. Se não tiver criado os canais de notificação e quiser receber notificações, clique em Editar canais de notificação e adicione os seus canais de notificação. Regresse à página Alertas depois de adicionar os seus canais.
  3. Na página Alertas, selecione Criar política.
  4. Para selecionar a métrica, expanda o menu Selecione uma métrica e, em seguida, faça o seguinte:
    1. Para limitar o menu a entradas relevantes, introduza key_version na barra de filtros. Se não houver resultados depois de filtrar o menu, desative o botão Mostrar apenas recursos e métricas ativos.
    2. Para o Tipo de recurso, selecione Global.
    3. Para a Categoria de métricas, selecione Métrica baseada em registos.
    4. Para a Métrica, selecione logging/user/key_version_destruction.
    5. Selecione Aplicar.
  5. Clicar em Seguinte.
  6. As definições na página Configurar acionador de alerta determinam quando o alerta é acionado. Preencha esta página com as definições na tabela seguinte.
    Página de configuração do acionador de alerta
    Campo
    Valor
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. Clicar em Seguinte.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e, de seguida, clique em OK.
  9. Opcional: atualize a Duração do encerramento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métricas.
  10. Opcional: clique em Documentação e, de seguida, adicione as informações que quer incluir numa mensagem de notificação.
  11. Clique em Nome do alerta e introduza um nome para a política de alertas.
  12. Clique em Criar política.
Para mais informações, consulte o artigo Vista geral dos alertas.

Para testar a nova notificação, agende uma versão da chave para destruição e, em seguida, verifique o seu email para ver se a notificação foi enviada.

Este alerta é acionado sempre que uma versão da chave é agendada para destruição. Tenha em atenção que o alerta é resolvido automaticamente (mesmo que a versão da chave permaneça agendada para destruição). Por isso, vai receber duas notificações por email: uma para a destruição agendada e outra para a resolução do alerta.

Para mais informações sobre as políticas de alerta, consulte o artigo Introdução aos alertas. Para saber como ativar, desativar, editar, copiar ou eliminar uma política de alertas, consulte o artigo Gerir políticas.

Para informações sobre os diferentes tipos de notificações, consulte as opções de notificação.

Monitorização de atividades administrativas vs. acesso aos dados

A destruição agendada de uma versão da chave é uma atividade do administrador. As atividades do administrador são registadas automaticamente. Se quiser criar um alerta para o acesso aos dados de um recurso do Cloud KMS, por exemplo, monitorizar quando uma chave é usada para encriptação, tem de ativar os registos de acesso aos dados e, em seguida, criar uma política de alerta, conforme descrito neste tópico.

Para mais informações sobre o registo de atividades administrativas e acesso a dados do Cloud KMS, consulte o artigo Usar os registos de auditoria do Cloud com o Cloud KMS.

Métricas de quota de taxa

O Cloud KMS suporta as seguintes métricas de quota de taxa:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Para ver informações sobre a monitorização destas quotas através do Cloud Monitoring, consulte o artigo Configure alertas e monitorização de quotas.

O que se segue?