Usa Stackdriver Monitoring con Cloud KMS

Puedes usar Stackdriver Monitoring para supervisar las operaciones que se realizan en los recursos de Cloud Key Management Service.

En este tema se abordan los siguientes aspectos:

  • un ejemplo sobre la supervisión cuando se programa la destrucción de una versión de clave
  • información sobre la supervisión de otros recursos y operaciones de Cloud KMS

Antes de comenzar

Si aún no lo hiciste, sigue estos pasos:

Crea una métrica de contador

Usa el comando gcloud logging metrics create para crear una métrica de contador que supervise todos los casos de la destrucción programada de una versión de clave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Con el comando gcloud logging metrics list, puedes generar una lista de las métricas de contador:

gcloud logging metrics list

Consulta Crear una métrica de contador, para obtener más información sobre cómo crear una, incluso por medio de Google Cloud Platform Console y la API de Monitoring.

Crea una política de alertas

Crea una política de alertas para que se envíe un correo electrónico cada vez que se programe la destrucción de una clave.

  1. En GCP Console, ve a Stackdriver > Monitoring > Alerta > Crea una política:

    Ir a Crear una política

  2. Haz clic en Agregar condición.

  3. En Destino (Target):

    • Haz clic en el cuadro de edición en Buscar métrica y tipo de recurso (Find resource type and metric).
    • En la lista desplegable, selecciona logging/user/key_version_destruction.

      Una vez que seleccionaste la métrica de la lista desplegable, el título de la condición se completa automáticamente. Puedes cambiar el título si lo deseas.

  4. En Configuración (Configuration), haz lo siguiente:

    • Configura La condición se activa si (Condition triggers if) en Cualquier serie temporal es una infracción (Any time series violates).
    • Configura Condición (Condition) en por encima de (is above).
    • En Umbral (Threshold), ingresa 0.
    • En Para, selecciona El valor más reciente

      Tu página Agregar condición de umbral de métrica debería tener un aspecto similar al siguiente ejemplo:

      Crear una condición nueva

  5. Haz clic en Guardar (Save).

  6. En Notificaciones (opcional) (Notifications [optional]):

    • Selecciona Correo electrónico (Email).
    • Ingresa la dirección de correo electrónico para recibir la notificación.
    • Haz clic en Agregar canal de notificación (Add Notification Channel).
  7. En Documentación (opcional) (Documentation [optional]):

    • En el cuadro de edición en Editar (Edit), ingresa el mensaje para la notificación. Por ejemplo:

      A key version has been scheduled for destruction.
      
  8. Ingresa un nombre en la sección Nombre de la política (Name this policy), por ejemplo: Versión de clave programada para su destrucción (Key version scheduled for destruction).

    Tu página Crea una política de alertas nueva (Create new alerting policy) debe ser similar a la siguiente:

    Página de creación de nueva política de alertas

  9. Haz clic en Guardar (Save).

A fin de probar tu nueva notificación, programa la destrucción de una versión de clave y revisa tu correo electrónico para ver si se envió.

Esta alerta se activará cada vez que se programe la destrucción de una clave. Dado que la alerta se resolverá automáticamente (a pesar de que la versión de clave seguirá programada para su destrucción), se enviarán dos notificaciones por correo electrónico: una que avisa sobre la destrucción programada y otra que avisa sobre la resolución de la alerta.

Para obtener más información sobre las políticas de alertas, consulta Introducción a las alertas. Para obtener información sobre cómo activar, desactivar, editar, copiar o borrar una política de alerta, consulta Administra políticas.

Consulta Opciones de notificación, para obtener información sobre los distintos tipos de notificación.

Supervisión de actividades administrativas o acceso a los datos

La destrucción programada de una versión de clave es una actividad de administrador. Las actividades de administrador se registran automáticamente. Si deseas crear una alerta sobre el acceso a los datos de un recurso de Cloud KMS, p. ej., supervisar cuándo se usa una clave para la encriptación, debes habilitar los registros de acceso a los datos y, luego, crear una política de alerta como se describe en este tema.

Para obtener más información sobre el registro del acceso de datos y de actividades administrativas de Cloud KMS, consulta Usa Cloud Audit Logs con Cloud KMS.

Métricas de cuota de tarifa

Cloud KMS admite las siguientes métricas de cuota de tarifa:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Para obtener información sobre cómo supervisar estas cuotas con Stackdriver Monitoring, consulta Supervisa métricas de cuota.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...