Cloud Monitoring consente di monitorare le operazioni eseguite sulle risorse in Cloud Key Management Service.
Questo argomento fornisce:
- un esempio per il monitoraggio quando è pianificata l'eliminazione di una versione della chiave
- informazioni sul monitoraggio di altre risorse e operazioni di Cloud KMS
Prima di iniziare
Se non lo hai già fatto, configura un progetto Google Cloud in cui sia abilitata l'API Cloud Key Management Service. Questi passaggi sono documentati nella guida rapida di Cloud KMS.
Creare una metrica contatore
Utilizza il comando gcloud logging metrics create
per creare una metrica contatore che monitorerà tutte le occorrenze dell'eliminazione pianificata di una versione della chiave.
gcloud logging metrics create key_version_destruction \ --description "Key version scheduled for destruction" \ --log-filter "resource.type=cloudkms_cryptokeyversion \ AND protoPayload.methodName=DestroyCryptoKeyVersion"
Puoi elencare le metriche dei contatori utilizzando il comando gcloud logging metrics list
:
gcloud logging metrics list
Per ulteriori informazioni sulla creazione di una metrica contatore, anche tramite la console Google Cloud e l'API Monitoring, consulta Creazione di una metrica contatore.
crea un criterio di avviso
Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere una notifica quando queste metriche violano una condizione.
-
Nella console Google Cloud, vai alla pagina notifications Avvisi:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
- Se non hai creato i canali di notifica e vuoi ricevere le notifiche, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i canali.
- Nella pagina Avvisi, seleziona Crea criterio.
- Per selezionare la metrica, espandi il menu Seleziona una metrica e poi segui questi passaggi:
- Per limitare il menu alle voci pertinenti, inserisci
key_version
nella barra dei filtri. Se non vengono mostrati risultati dopo aver filtrato il menu, disattiva il pulsante di attivazione/disattivazione Mostra solo risorse e metriche attive. - In Tipo di risorsa, seleziona Globale.
- Per Categoria di metrica, seleziona Metrica basata su log.
- Per Metrica, seleziona logging/user/key_version_destruction.
- Seleziona Applica.
- Per limitare il menu alle voci pertinenti, inserisci
- Fai clic su Avanti.
- Le impostazioni nella pagina Configura trigger avviso determinano quando l'avviso viene attivato.
Completa questa pagina con le impostazioni riportate nella seguente tabella.
Configura trigger di avviso pagina
Campo
ValoreAlert trigger
Any time series violates
Threshold position
Above threshold
Threshold value
0
Advanced Options: Retest window
No retest
- Fai clic su Avanti.
- (Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu, quindi fai clic su Ok.
- (Facoltativo) Aggiorna la Durata della chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
- (Facoltativo) Fai clic su Documentazione, quindi aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
- Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
- Fai clic su Crea criterio.
Per testare la nuova notifica, pianifica l'eliminazione di una versione della chiave, quindi controlla l'email per vedere se la notifica è stata inviata.
Questo avviso verrà attivato ogni volta che viene pianificata l'eliminazione di una versione della chiave. Tieni presente che l'avviso verrà risolto automaticamente (anche se la versione della chiave rimane pianificata per l'eliminazione), quindi ci saranno due notifiche email, una per l'eliminazione pianificata e una per la risoluzione dell'avviso.
Per saperne di più sui criteri di avviso, consulta Introduzione agli avvisi. Per scoprire come attivare, disattivare, modificare, copiare o eliminare un criterio di avviso, consulta Gestire i criteri.
Per informazioni sui diversi tipi di notifica, consulta la sezione Opzioni di notifica.
Confronto tra le attività amministrative e l'accesso ai dati
L'eliminazione pianificata di una versione della chiave è un'attività dell'amministratore. Le attività degli amministratori vengono registrate automaticamente. Se vuoi creare un avviso per l'accesso ai dati di una risorsa Cloud KMS, ad esempio il monitoraggio quando una chiave viene utilizzata per la crittografia, devi abilitare i log di accesso ai dati e quindi creare un criterio di avviso come descritto in questo argomento.
Per ulteriori informazioni sul logging delle attività amministrative e dell'accesso ai dati di Cloud KMS, consulta Utilizzo degli audit log di Cloud con Cloud KMS.
Metriche della quota di frequenza
Cloud KMS supporta le seguenti metriche relative alla quota di frequenza:
cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests
Per informazioni sul monitoraggio di queste quote con Cloud Monitoring, consulta Monitoraggio delle metriche delle quote.