Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di Cloud Monitoring con Cloud KMS

Cloud Monitoring può essere utilizzato per monitorare le operazioni eseguite sulle risorse in Cloud Key Management Service.

Questo argomento fornisce:

esempio per il monitoraggio di quando è pianificata l'eliminazione di una versione della chiave
informazioni sul monitoraggio di altre risorse e operazioni di Cloud KMS

Prima di iniziare

Se non lo hai già fatto, configura un progetto Google Cloud per cui è abilitata l'API Cloud Key Management Service. Questi passaggi sono documentati nella guida rapida di Cloud KMS.

Creare una metrica sui contatori

Utilizza il comando gcloud logging metrics create per creare una metrica del contatore che monitorerà qualsiasi occorrenza dell'eliminazione pianificata di una versione della chiave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Puoi elencare le metriche dei contatori utilizzando il comando gcloud logging metrics list:

gcloud logging metrics list

Per ulteriori informazioni sulla creazione di una metrica di contatore, anche tramite la console Google Cloud e l'API Monitoring, consulta Creazione di una metrica sui contatori.

crea un criterio di avviso

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere una notifica quando queste metriche violano una condizione.

Nella console Google Cloud, vai alla pagina Avvisi di :
Vai ad Avvisi

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato il cui sottotitolo è Monitoring.
Se non hai creato i canali di notifica e vuoi ricevere una notifica, fai clic su Modifica canali di notifica e aggiungi i tuoi canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i tuoi canali.
Nella pagina Avvisi, seleziona Crea criterio.
Per selezionare la metrica, espandi il menu Seleziona una metrica e procedi nel seguente modo:
1. Per limitare il menu alle voci pertinenti, inserisci key_version nella barra dei filtri. Se dopo aver filtrato il menu non vengono visualizzati risultati, disattiva l'opzione Mostra solo risorse e metriche attive.
2. In Tipo di risorsa, seleziona Globale.
3. Per la Categoria di metrica, seleziona Metrica basata su log.
4. Per Metrica, seleziona logging/user/key_version_destruction.
5. Seleziona Applica.
Tocca Avanti.
Le impostazioni nella pagina Configura trigger di avviso determinano quando viene attivato l'avviso. Completa questa pagina con le impostazioni indicate nella tabella seguente.

Pagina Configura trigger di avviso
Campo
Valore

Alert trigger Any time series violates

Threshold position Above threshold

Threshold value 0

Advanced Options: Retest window No retest
Tocca Avanti.
(Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu, quindi fai clic su OK.
(Facoltativo) Aggiorna la Durata della chiusura automatica dell'incidente. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
(Facoltativo) Fai clic su Documentazione, quindi aggiungi le informazioni che vuoi includere in un messaggio di notifica.
Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
Fai clic su Crea criterio.

Pagina Configura trigger di avviso Campo	Valore
`Alert trigger`	`Any time series violates`
`Threshold position`	`Above threshold`
`Threshold value`	`0`
`Advanced Options: Retest window`	`No retest`

Per saperne di più, consulta Criteri di avviso.

Per testare la nuova notifica, pianifica la versione della chiave per l'eliminazione, quindi controlla l'email per verificare se la notifica è stata inviata.

Questo avviso verrà attivato ogni volta che è stata pianificata l'eliminazione di una versione della chiave. Tieni presente che l'avviso verrà risolto automaticamente (anche se la versione della chiave rimane pianificata per l'eliminazione), quindi ci saranno due notifiche email, una per l'eliminazione pianificata e una per la risoluzione dell'avviso.

Per saperne di più sui criteri di avviso, vedi Introduzione agli avvisi. Per scoprire come attivare, disattivare, modificare, copiare o eliminare un criterio di avviso, vedi Gestione dei criteri.

Per informazioni sui diversi tipi di notifiche, consulta Opzioni di notifica.

Monitorare le attività amministrative e l'accesso ai dati

L'eliminazione pianificata di una versione della chiave è un'attività di amministratore. Le attività dell'amministratore vengono registrate automaticamente. Se vuoi creare un avviso per l'accesso ai dati di una risorsa Cloud KMS, ad esempio per monitorare quando viene utilizzata una chiave per la crittografia, devi abilitare i log di accesso ai dati e creare un criterio di avviso come descritto in questo argomento.

Per ulteriori informazioni sul logging delle attività amministrative di Cloud KMS e sull'accesso ai dati, consulta Utilizzo di Cloud Audit Logs con Cloud KMS.

Metriche della quota di frequenza

Cloud KMS supporta le seguenti metriche della quota di frequenza:

cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests

Per informazioni sul monitoraggio di queste quote tramite Cloud Monitoring, consulta Monitoraggio delle metriche delle quote.

Passaggi successivi

Monitora l'utilizzo del gestore chiavi esterno.