Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Cloud Monitoring dengan Cloud KMS

Cloud Monitoring dapat digunakan untuk memantau operasi yang dilakukan pada resource di Cloud Key Management Service.

Topik ini menyediakan:

contoh untuk memantau saat versi kunci dijadwalkan untuk dihancurkan
informasi tentang cara memantau resource dan operasi Cloud KMS lainnya

Sebelum memulai

Jika Anda belum melakukannya, siapkan project Google Cloud yang mengaktifkan Cloud Key Management Service API. Langkah-langkah ini didokumentasikan dalam Panduan Memulai Cloud KMS.

Membuat metrik penghitung

Gunakan perintah gcloud logging metrics create untuk membuat metrik penghitung yang akan memantau setiap kemunculan pemusnahan terjadwal versi kunci.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Anda dapat membuat daftar metrik penghitung menggunakan perintah gcloud logging metrics list:

gcloud logging metrics list

Untuk informasi selengkapnya tentang cara membuat metrik penghitung, termasuk melalui konsol Google Cloud dan Monitoring API, lihat Membuat metrik penghitung.

Membuat kebijakan pemberitahuan

Anda dapat membuat kebijakan pemberitahuan untuk memantau nilai metrik dan memberi tahu Anda saat metrik tersebut melanggar ketentuan.

Di konsol Google Cloud, buka halaman Alerting:
Buka Pemberitahuan

Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.
ika Anda belum membuat saluran notifikasi dan ingin menerima notifikasi, klik Edit Notification Channels dan tambahkan saluran notifikasi Anda. Kembali ke halaman Alerting setelah menambahkan saluran.
Dari halaman Alerting, pilih Create policy.
Untuk memilih metrik, luaskan menu Pilih metrik, lalu lakukan tindakan berikut:
1. Untuk membatasi menu pada entri yang relevan, masukkan key_version ke kolom filter. Jika tidak ada hasil setelah memfilter menu, nonaktifkan tombol Hanya tampilkan resource & metrik aktif.
2. Untuk Jenis resource, pilih Global.
3. Untuk Kategori metrik, pilih Metrik Berbasis Log.
4. Untuk Metrik, pilih logging/user/key_version_destruction.
5. Pilih Apply.
Klik Berikutnya.
Setelan di halaman Konfigurasi pemicu notifikasi menentukan kapan notifikasi dipicu. Isi halaman ini dengan setelan dalam tabel berikut.

Kolom halaman Configure alert trigger

Nilai

Alert trigger Any time series violates

Threshold position Above threshold

Threshold value 0

Advanced Options: Retest window No retest
Klik Berikutnya.
Opsional: Untuk menambahkan notifikasi ke kebijakan pemberitahuan, klik Notification channels. Dalam dialog ini, pilih satu atau beberapa saluran notifikasi dari menu, lalu klik OK.
Opsional: Perbarui Incident autoclose duration. Kolom ini menentukan kapan Monitoring akan menutup insiden jika data metrik tidak ada.
Opsional: Klik Documentation, lalu tambahkan informasi apa pun yang ingin Anda sertakan dalam pesan notifikasi.
Klik Alert name dan masukkan nama untuk kebijakan pemberitahuan itu.
Klik Create Policy.

Kolom halaman Configure alert trigger	Nilai
`Alert trigger`	`Any time series violates`
`Threshold position`	`Above threshold`
`Threshold value`	`0`
`Advanced Options: Retest window`	`No retest`

Untuk informasi selengkapnya, lihat Kebijakan pemberitahuan.

Untuk menguji notifikasi baru, jadwalkan versi kunci untuk dihancurkan, lalu periksa email Anda untuk melihat apakah notifikasi telah dikirim.

Notifikasi ini akan dipicu setiap kali versi kunci dijadwalkan untuk dihancurkan. Perhatikan bahwa pemberitahuan akan otomatis diselesaikan (meskipun versi kunci tetap dijadwalkan untuk dihancurkan), sehingga akan ada dua notifikasi email, satu untuk pemusnahan terjadwal, dan satu untuk pemberitahuan yang diselesaikan.

Untuk mengetahui informasi selengkapnya tentang kebijakan pemberitahuan, lihat Pengantar pemberitahuan. Untuk mempelajari cara mengaktifkan, menonaktifkan, mengedit, menyalin, atau menghapus kebijakan pemberitahuan, lihat Mengelola kebijakan.

Untuk informasi tentang berbagai jenis notifikasi, lihat Opsi notifikasi.

Memantau aktivitas administratif vs. akses data

Penghancuran versi kunci terjadwal adalah aktivitas administrator. Aktivitas administrator dicatat secara otomatis. Jika ingin membuat pemberitahuan untuk akses data resource Cloud KMS, misalnya memantau saat kunci digunakan untuk enkripsi, Anda harus mengaktifkan log Akses Data, lalu membuat kebijakan pemberitahuan seperti yang dijelaskan dalam topik ini.

Untuk informasi selengkapnya tentang logging aktivitas administratif dan akses data Cloud KMS, lihat Menggunakan Cloud Audit Logs dengan Cloud KMS.

Metrik kuota kapasitas

Cloud KMS mendukung metrik kuota kapasitas berikut:

cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests

Untuk informasi tentang cara memantau kuota ini menggunakan Cloud Monitoring, lihat Memantau metrik kuota.

Langkah selanjutnya

Memantau penggunaan pengelola kunci enkripsi eksternal Anda.