Usa Cloud Monitoring con Cloud KMS

Cloud Monitoring se puede usar para supervisar operaciones realizadas en los recursos de Cloud Key Management Service.

En este tema, se ofrece lo siguiente:

un ejemplo sobre la supervisión cuando se programa la destrucción de una versión de clave
información sobre la supervisión de otros recursos y operaciones de Cloud KMS

Antes de comenzar

Configura un proyecto de Google Cloud que tenga la API de Cloud Key Management Service habilitada, si aún no lo hiciste. Estos pasos se documentan en la Guía de inicio rápido de Cloud KMS.

Crea una métrica de contador

Usa el comando gcloud logging metrics create para crear una métrica de contador que supervise todos los casos de destrucción programada de una versión de clave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Para obtener una lista de las métricas de contador que tienes, usa el comando gcloud logging metrics list:

gcloud logging metrics list

Para obtener más información sobre cómo crear una métrica de contador, incluso por medio de la consola de Google Cloud y la API de Monitoring, consulta Crea una métrica de contador.

Crea una política de alertas

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

En el panel de navegación de la consola de Google Cloud, selecciona Monitoring y, luego, Alertas:
Ir a Alertas
Si aún no creas canales de notificaciones y deseas recibir notificaciones, haz clic en Edit Notification Channels y agrega tus canales de notificaciones. Regresa a la página Alertas después de agregar tus canales.
En la página Alertas, selecciona Crear política.
Para seleccionar la métrica, expande el menú Seleccionar una métrica y, luego, haz lo siguiente:
1. Para limitar el menú a las entradas relevantes, ingresa key_version en la barra de filtros. Si no hay resultados después de que filtres el menú, inhabilita el botón de activación Show only active resources & metrics.
2. En Tipo de recurso, selecciona Global.
3. En la Categoría de métrica, selecciona Métrica basada en registros.
4. En la Métrica, selecciona logging/user/key_version_destruction.
5. Selecciona Apply (Apply).
Haz clic en Siguiente.
La configuración de la página Configure alert trigger determina cuándo se activa la alerta. Completa esta página con la configuración en la siguiente tabla.

Página Configurar activador de alertas
Campo
Valor

Alert trigger Any time series violates

Threshold position Above threshold

Threshold value 0

Advanced Options: Retest window No retest
Haz clic en Siguiente.
Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.
Opcional: Actualiza la Duración del cierre automático de incidentes. Este campo determina cuándo Monitoring cierra los incidentes ante la ausencia de datos de métricas.
Opcional: Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación.
Haz clic en Nombre de la alerta y, luego, ingresa un nombre para la política de alertas.
Haz clic en Crear política.

Página Configurar activador de alertas Campo	Valor
`Alert trigger`	`Any time series violates`
`Threshold position`	`Above threshold`
`Threshold value`	`0`
`Advanced Options: Retest window`	`No retest`

Para obtener más información, consulta Políticas de alertas.

A fin de probar tu nueva notificación, programa la destrucción de una versión de clave y revisa tu correo electrónico para ver si se envió.

Esta alerta se activará cada vez que se programe la destrucción de una clave. Dado que la alerta se resolverá automáticamente (a pesar de que la versión de clave seguirá programada para su destrucción), se enviarán dos notificaciones por correo electrónico: una que avisa sobre la destrucción programada y otra que avisa sobre la resolución de la alerta.

Para obtener más información sobre las políticas de alertas, consulta Introducción a las alertas. Para obtener información sobre cómo activar, desactivar, editar, copiar o borrar una política de alerta, consulta Administra políticas.

Consulta Opciones de notificación, para obtener información sobre los distintos tipos de notificación.

Supervisión de actividades administrativas o acceso a los datos

La destrucción programada de una versión de clave es una actividad de administrador. Las actividades de administrador se registran automáticamente. Si deseas crear una alerta sobre el acceso a los datos de un recurso de Cloud KMS (p. ej., supervisar cuándo se usa una clave para la encriptación), debes habilitar los registros de acceso a los datos y crear una política de alerta como se describe en este tema.

Para obtener más información sobre el registro del acceso de datos y de actividades administrativas de Cloud KMS, consulta Usa Cloud Audit Logs con Cloud KMS.

Métricas de cuota de tarifa

Cloud KMS admite las siguientes métricas de cuota de tarifa:

cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests

Para obtener información sobre cómo supervisar estas cuotas con Cloud Monitoring, consulta Supervisa métricas de cuota.

¿Qué sigue?

Supervisa el uso del administrador de claves externo.