将 Cloud Monitoring 与 Cloud KMS 搭配使用

Cloud Monitoring 可用于监控对 Cloud Key Management Service 中的资源执行的操作。

本主题提供以下各项：

监视密钥版本何时计划销毁的示例
有关监控其他 Cloud KMS 资源和操作的信息

准备工作

如果您尚未设置启用 Cloud Key Management Service API 的 Google Cloud 项目，请进行设置。Cloud KMS 快速入门中介绍了这些步骤。

创建计数器指标

使用 gcloud logging metrics create 命令创建计数器指标，该计数器指标将监控密钥版本的已安排的任何销毁。

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

您可以使用 gcloud logging metrics list 命令列出计数器指标：

gcloud logging metrics list

如需详细了解如何创建计数器指标，包括通过 Google Cloud 控制台和 Monitoring API 进行创建，请参阅创建计数器指标。

创建提醒政策

您可以创建提醒政策来监控指标的值，当这些指标违反条件时便会通知您。

在 Google Cloud 控制台的导航面板中，选择 Monitoring，然后选择提醒：
进入提醒
如果您尚未创建通知渠道并希望收到通知，请点击修改通知渠道并添加通知渠道。添加渠道后，返回到提醒页面。
在提醒页面中，点击创建政策。
如需选择指标，请展开选择指标菜单，然后执行以下操作：
1. 如需将菜单限制为相关条目，请在过滤栏中输入 key_version。如果过滤菜单后没有显示任何结果，请停用仅显示活跃的资源和指标切换开关。
2. 对于 Resource type，选择 Global。
3. 对于指标类别，选择基于日志的指标。
4. 对于指标，选择 logging/user/key_version_destruction。
5. 选择应用。
点击下一步。
配置提醒触发器页面中的设置决定了何时触发提醒。使用下表中的设置完成本页面。

配置提醒触发器页面
字段
值

Alert trigger Any time series violates

Threshold position Above threshold

Threshold value 0

Advanced Options: Retest window No retest
点击下一步。
可选：如需将通知添加到您的提醒政策中，请点击通知渠道。在对话框中，从菜单中选择一个或多个通知渠道，然后点击确定。
可选：更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
可选：点击文档，然后添加您希望包含在通知消息中的任何信息。
点击提醒名称，然后输入提醒政策的名称。
点击 Create Policy（创建政策）。

配置提醒触发器页面字段	值
`Alert trigger`	`Any time series violates`
`Threshold position`	`Above threshold`
`Threshold value`	`0`
`Advanced Options: Retest window`	`No retest`

如需了解详情，请参阅提醒政策。

要测试新通知，请安排密钥版本进行销毁，然后检查您的电子邮件以查看通知是否已发送。

每次安排密钥版本销毁时都会触发此提醒。请注意，提醒将自动被解决（即使密钥版本仍然处于计划销毁状态），因此将有两个电子邮件通知，一个有关计划的销毁，另一个关于已解决的提醒。

如需了解有关提醒政策的更多信息，请参阅提醒简介。如需了解如何打开、关闭、修改、复制或删除提醒政策，请参阅管理政策。

如需了解不同类型通知的相关信息，请参阅通知选项。

监控管理活动与数据访问

计划销毁密钥版本是一项管理员活动。系统会自动记录管理员活动。如果要为对 Cloud KMS 资源的数据访问创建提醒（例如监控密钥何时用于加密时），您需要启用数据访问日志，然后参照主题相关内容创建提醒政策。

如需详细了解如何记录 Cloud KMS 管理活动和数据访问，请参阅将 Cloud Audit Logs 与 Cloud KMS 配合使用。

费率配额指标

Cloud KMS 支持以下费率配额指标：

cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests

如需了解如何使用 Cloud Monitoring 监控这些配额，请参阅监控配额指标。

后续步骤

监控外部密钥管理器的使用情况。