Cloud Monitoring dapat digunakan untuk memantau operasi yang dilakukan pada resource di Cloud Key Management Service.
Topik ini memberikan:
- contoh untuk memantau kapan versi kunci dijadwalkan untuk dimusnahkan
- informasi tentang pemantauan resource dan operasi Cloud KMS lainnya
Sebelum memulai
Jika Anda belum melakukannya, siapkan project Google Cloud yang telah mengaktifkan Cloud Key Management Service API. Langkah-langkah ini didokumentasikan dalam Panduan Memulai Cloud KMS.
Membuat metrik penghitung
Gunakan perintah gcloud logging metrics create
untuk membuat metrik penghitung yang akan memantau terjadinya penghancuran terjadwal suatu versi kunci.
gcloud logging metrics create key_version_destruction \ --description "Key version scheduled for destruction" \ --log-filter "resource.type=cloudkms_cryptokeyversion \ AND protoPayload.methodName=DestroyCryptoKeyVersion"
Anda dapat mencantumkan metrik penghitung menggunakan perintah gcloud logging metrics list
:
gcloud logging metrics list
Untuk mengetahui informasi selengkapnya tentang cara membuat metrik penghitung, termasuk melalui Google Cloud Console dan Monitoring API, lihat Membuat metrik penghitung.
Membuat kebijakan pemberitahuan
Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.
-
Pada panel navigasi Konsol Google Cloud, pilih Monitoring, lalu pilih notifications Alerting:
- ika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
- Dari halaman Alerting, pilih Create policy.
- Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
- Untuk membatasi menu pada entri yang relevan, masukkan
key_version
ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif. - Untuk Resource type, pilih Global.
- Untuk Metric category, pilih Logs-Based Metric.
- Untuk Metric, pilih logging/user/key_version_destruction.
- Pilih Apply.
- Untuk membatasi menu pada entri yang relevan, masukkan
- Klik Next.
- Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu.
Lengkapi halaman ini dengan setelan dalam tabel berikut.
Halaman Konfigurasi pemicu pemberitahuan
Kolom
NilaiAlert trigger
Any time series violates
Threshold position
Above threshold
Threshold value
0
Advanced Options: Retest window
No retest
- Klik Next.
- Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
- Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
- Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
- Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
- Klik Create Policy.
Untuk menguji notifikasi baru, jadwalkan versi kunci untuk dimusnahkan, lalu periksa email Anda untuk melihat apakah notifikasi tersebut telah dikirim.
Pemberitahuan ini akan dipicu setiap kali versi kunci dijadwalkan untuk dihancurkan. Perhatikan bahwa pemberitahuan akan otomatis diselesaikan (meskipun versi kunci tetap dijadwalkan untuk dimusnahkan), sehingga akan ada dua notifikasi email, satu untuk penghancuran terjadwal, dan satu untuk pemberitahuan yang sedang diselesaikan.
Untuk mengetahui informasi selengkapnya tentang kebijakan pemberitahuan, lihat Pengantar pemberitahuan. Untuk mempelajari cara mengaktifkan, menonaktifkan, mengedit, menyalin, atau menghapus kebijakan pemberitahuan, lihat Mengelola kebijakan.
Untuk mengetahui informasi tentang berbagai jenis notifikasi, lihat Opsi notifikasi.
Memantau aktivitas administratif vs. akses data
Penghancuran versi kunci terjadwal merupakan aktivitas administrator. Aktivitas administrator dicatat secara otomatis. Jika Anda ingin membuat pemberitahuan untuk akses data resource Cloud KMS, misalnya memantau saat kunci digunakan untuk enkripsi, Anda harus mengaktifkan log Akses Data, lalu membuat kebijakan pemberitahuan seperti yang dijelaskan dalam topik ini.
Untuk mengetahui informasi selengkapnya tentang logging aktivitas administratif Cloud KMS dan akses data, lihat Menggunakan Cloud Audit Logs dengan Cloud KMS.
Metrik kuota kapasitas
Cloud KMS mendukung metrik kuota kapasitas berikut:
cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests
Untuk mengetahui informasi tentang pemantauan kuota ini menggunakan Cloud Monitoring, lihat Memantau metrik kuota.