Cloud Monitoring mit Cloud KMS verwenden

Mit Cloud Monitoring können Sie Vorgänge beobachten, die im Cloud Key Management Service für Ressourcen ausgeführt werden.

Dieses Thema umfasst:

  • ein Beispiel zum Überwachen von zum Löschen vorgemerkten Schlüsselversionen mithilfe von Monitoring
  • Informationen zum Monitoring anderer Cloud KMS-Ressourcen und -Vorgänge

Hinweise

Richten Sie ein Google Cloud-Projekt ein, für das die Cloud Key Management Service API aktiviert ist, falls noch nicht geschehen. Diese hierfür erforderlichen Schritte sind im Cloud KMS-Schnellstart beschrieben.

Zählermesswert erstellen

Verwenden Sie den Befehl gcloud logging metrics create, um einen Zählermesswert zu erstellen, der alle geplanten Löschvorgänge einer Schlüsselversion überwacht.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Sie können Ihre Zählermesswerte mit dem Befehl gcloud logging metrics list auflisten:

gcloud logging metrics list

Weitere Informationen zum Erstellen eines Zählermesswerts, auch über die Google Cloud Console und die Monitoring API, finden Sie unter Zählermesswert erstellen.

Benachrichtigungsrichtlinie erstellen

Sie können Benachrichtigungsrichtlinien erstellen, um Messwerte zu beobachten und sich informieren zu lassen, wenn diese gegen eine Bedingung verstoßen.

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und dann  Benachrichtigungen aus:

    Zu Benachrichtigungen

  2. Wenn Sie keine Benachrichtigungskanäle erstellt haben und Benachrichtigungen erhalten möchten, klicken Sie auf Benachrichtigungskanäle bearbeiten und fügen Sie Benachrichtigungskanäle hinzu. Kehren Sie nach dem Hinzufügen der Kanäle zur Seite Benachrichtigungen zurück.
  3. Klicken Sie auf der Seite Benachrichtigungen auf Richtlinie erstellen.
  4. Maximieren Sie zum Auswählen des Messwerts das Menü Messwert auswählen und gehen Sie dann so vor:
    1. Um das Menü auf relevante Einträge zu beschränken, geben Sie in die Filterleiste key_version ein. Wenn nach dem Filtern des Menüs keine Ergebnisse angezeigt werden, deaktivieren Sie die Option Nur aktive Ressourcen und Messwerte anzeigen.
    2. Wählen Sie für Ressourcentyp die Option Global aus.
    3. Wählen Sie für die Kategorie des Messwerts die Option Logbasierter Messwert aus.
    4. Wählen Sie für Messwert die Option logging/user/key_version_destruction aus.
    5. Klicken Sie auf Apply (Anwenden).
  5. Klicken Sie auf Next (Weiter).
  6. Die Einstellungen auf der Seite Benachrichtigungstrigger konfigurieren bestimmen, wann die Benachrichtigung ausgelöst wird. Legen Sie auf dieser Seite die Einstellungen aus der folgenden Tabelle fest.
    Seite Trigger für Benachrichtigungen konfigurieren
    Feld
    Wert
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. Klicken Sie auf Next (Weiter).
  8. Optional: Klicken Sie auf Benachrichtigungskanäle, um Benachrichtigungen zu Ihrer Benachrichtigungsrichtlinie hinzuzufügen. Wählen Sie im Dialogfeld einen oder mehrere Benachrichtigungskanäle aus dem Menü aus und klicken Sie dann auf OK.
  9. Optional: Aktualisieren Sie die Dauer bis zur automatischen Schließung von Vorfällen. Dieses Feld bestimmt, wann Monitoring Vorfälle ohne Messwertdaten schließt.
  10. Optional: Klicken Sie auf Dokumentation und geben Sie alle Informationen ein, die in einer Benachrichtigung angezeigt werden sollen.
  11. Klicken Sie auf Name der Benachrichtigung und geben Sie einen Namen für die Benachrichtigungsrichtlinie ein.
  12. Klicken Sie auf Richtlinie erstellen.
Weitere Informationen finden Sie unter Benachrichtigungsrichtlinien.

Um Ihre neue Benachrichtigung zu testen, merken Sie eine Schlüsselversion zum Löschen vor und überprüfen Sie dann Ihre E-Mail, um zu sehen, ob die Benachrichtigung gesendet wurde.

Diese Benachrichtigung wird jedes Mal verschickt, wenn eine Schlüsselversion zum Löschen eingeplant wurde. Beachten Sie, dass die Benachrichtigung automatisch aufgelöst wird (auch wenn die Schlüsselversion weiterhin zum Löschen vorgesehen ist). Daher werden zwei E-Mail-Benachrichtigungen angezeigt, eine für den vorgesehenen Löschvorgang und eine für die aufgelöste Benachrichtigung.

Weitere Informationen zu Benachrichtigungsrichtlinien finden Sie unter Einführung in Benachrichtigungen. Informationen zum Aktivieren, Deaktivieren, Bearbeiten, Kopieren oder Löschen einer Benachrichtigungsrichtlinie finden Sie unter Richtlinien verwalten.

Informationen zu verschiedenen Arten von Benachrichtigungen finden Sie unter Benachrichtigungsoptionen.

Monitoring von Administratoraktivitäten und Datenzugriff im Vergleich

Das vorgemerkte Löschen einer Schlüsselversion ist eine Administratoraktivität. Administratoraktivitäten werden automatisch protokolliert. Sie können eine Benachrichtigung für den Datenzugriff einer Cloud KMS-Ressource erstellen, z. B. um zu beobachten, wann ein Schlüssel zur Verschlüsselung verwendet wird. Zu diesem Zweck aktivieren Sie Datenzugriffslogs und erstellen anschließend eine Benachrichtigungsrichtlinie, wie in diesem Thema beschrieben.

Weitere Informationen zum Logging von Cloud KMS-Administrationsaktivitäten und Datenzugriffen finden Sie unter Cloud-Audit-Logs mit Cloud KMS verwenden.

Ratenkontingentmesswerte

Cloud KMS unterstützt die folgenden Ratenkontingentmesswerte:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Informationen zum Monitoring dieser Kontingente mit Cloud Monitoring finden Sie unter Kontingentmesswerte überwachen.

Nächste Schritte