Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Cloud Monitoring dengan Cloud KMS

Cloud Monitoring dapat digunakan untuk memantau operasi yang dilakukan pada resource di Cloud Key Management Service.

Topik ini menyediakan:

contoh pemantauan saat versi kunci dijadwalkan untuk dimusnahkan
informasi tentang pemantauan resource dan operasi Cloud KMS lainnya

Sebelum memulai

Jika Anda belum melakukannya, siapkan project yang mengaktifkan Cloud Key Management Service API. Google Cloud Langkah-langkah ini didokumentasikan dalam Panduan Memulai Cloud KMS.

Membuat metrik penghitung

Gunakan perintah gcloud logging metrics create untuk membuat metrik penghitung yang akan memantau setiap kemunculan penghancuran terjadwal versi kunci.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Anda dapat membuat daftar metrik penghitung menggunakan perintah gcloud logging metrics list:

gcloud logging metrics list

Untuk mengetahui informasi selengkapnya tentang cara membuat metrik penghitung, termasuk melalui Google Cloud konsol dan Monitoring API, lihat Membuat metrik penghitung.

Membuat kebijakan pemberitahuan

Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.

Di konsol Google Cloud , buka halaman Alerting:
Buka Alerting

Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.
Jika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
Dari halaman Alerting, pilih Create policy.
Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
1. Untuk membatasi menu pada entri yang relevan, masukkan key_version ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif.
2. Untuk Jenis resource, pilih Global.
3. Untuk Metric category, pilih Logs-Based Metric.
4. Untuk Metrik, pilih logging/user/key_version_destruction.
5. Pilih Apply.
Klik Berikutnya.
Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu. Lengkapi halaman ini dengan setelan di tabel berikut.

Halaman Configure alert trigger
Kolom
Nilai

Alert trigger Any time series violates

Threshold position Above threshold

Threshold value 0

Advanced Options: Retest window No retest
Klik Berikutnya.
Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
Klik Create Policy.

Halaman Configure alert trigger Kolom	Nilai
`Alert trigger`	`Any time series violates`
`Threshold position`	`Above threshold`
`Threshold value`	`0`
`Advanced Options: Retest window`	`No retest`

Untuk mengetahui informasi selengkapnya, lihat Ringkasan pemberitahuan.

Untuk menguji notifikasi baru, jadwalkan penghancuran versi kunci, lalu periksa email Anda untuk melihat apakah notifikasi telah dikirim.

Pemberitahuan ini akan dipicu setiap kali versi kunci telah dijadwalkan untuk dihancurkan. Perhatikan bahwa pemberitahuan akan otomatis diselesaikan (meskipun versi kunci tetap dijadwalkan untuk dimusnahkan), sehingga akan ada dua notifikasi email, satu untuk pemusnahan terjadwal, dan satu untuk pemberitahuan yang diselesaikan.

Untuk mengetahui informasi selengkapnya tentang kebijakan pemberitahuan, lihat Pengantar tentang pemberitahuan. Untuk mempelajari cara mengaktifkan, menonaktifkan, mengedit, menyalin, atau menghapus kebijakan pemberitahuan, lihat Mengelola kebijakan.

Untuk mengetahui informasi tentang berbagai jenis notifikasi, lihat Opsi notifikasi.

Memantau aktivitas administratif vs. akses data

Penghancuran versi kunci yang dijadwalkan adalah aktivitas administrator. Aktivitas administrator dicatat secara otomatis. Jika Anda ingin membuat pemberitahuan untuk akses data resource Cloud KMS, misalnya memantau saat kunci digunakan untuk enkripsi, Anda harus mengaktifkan log Akses Data, lalu membuat kebijakan pemberitahuan seperti yang dijelaskan dalam topik ini.

Untuk mengetahui informasi selengkapnya tentang logging aktivitas administratif dan akses data Cloud KMS, lihat Menggunakan Cloud Audit Logs dengan Cloud KMS.

Metrik kuota kapasitas

Cloud KMS mendukung metrik kuota kecepatan berikut:

cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests

Untuk mengetahui informasi tentang cara memantau kuota ini menggunakan Cloud Monitoring, lihat Menyiapkan pemberitahuan dan pemantauan kuota.

Langkah berikutnya

Pantau penggunaan pengelola kunci eksternal Anda.