Esta página se ha traducido con Cloud Translation API.
Switch to English

Usa Cloud Monitoring con Cloud KMS

Cloud Monitoring se puede usar para supervisar operaciones realizadas en los recursos de Cloud Key Management Service.

En este tema, se ofrece lo siguiente:

  • un ejemplo sobre la supervisión cuando se programa la destrucción de una versión de clave
  • información sobre la supervisión de otros recursos y operaciones de Cloud KMS

Antes de comenzar

Si aún no lo hiciste, sigue estos pasos:

  • Configura un proyecto de Google Cloud que tenga la API de Cloud Key Management Service habilitada. Estos pasos se documentan en la Guía de inicio rápido de Cloud KMS.

  • Sigue estos pasos de modo que puedas configurar un lugar de trabajo de Cloud Monitoring para tu proyecto:
    1. En Cloud Console, selecciona tu proyecto de Google Cloud.
      Ir a Cloud Console
    2. En el panel de navegación, selecciona Monitoring.

      Si nunca usaste Cloud Monitoring, entonces, en tu primer acceso a Monitoring en Google Cloud Console, se crea un lugar de trabajo de forma automática y tu proyecto se asocia con ese lugar de trabajo. De lo contrario, si el proyecto no está asociado con un lugar de trabajo, aparecerá un diálogo y podrás crear uno o agregar tu proyecto a un lugar de trabajo existente. Te recomendamos que crees un lugar de trabajo. Después de realizar la selección, haz clic en Agregar.

Crea una métrica de contador

Usa el comando gcloud logging metrics create para crear una métrica de contador que supervise todos los casos de destrucción programada de una versión de clave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Para obtener una lista de las métricas de contador que tienes, usa el comando gcloud logging metrics list:

gcloud logging metrics list

Para obtener más información sobre cómo crear una métrica de contador, incluida Google Cloud Console y la API de Monitoring, consulta Crea una métrica de contador.

Cree una política de alertas

Puedes crear políticas de alertas para supervisar los valores de las métricas y recibir notificaciones cuando estas infrinjan una condición.

Para crear una política de alertas que supervise uno o más recursos, sigue estos pasos:

  1. En Google Cloud Console, ve a la página Supervisión.

    Ir a Monitoring

    Si nunca usaste Cloud Monitoring, entonces, en tu primer acceso a Monitoring en Google Cloud Console, se creará un lugar de trabajo de forma automática y tu proyecto se asociará con ese lugar de trabajo. De lo contrario, si el proyecto no está asociado con un lugar de trabajo, aparecerá un diálogo y podrás crear uno o agregar tu proyecto a un lugar de trabajo existente. Te recomendamos que crees un lugar de trabajo. Después de realizar la selección, haz clic en Agregar.

  2. En el panel de navegación de Monitoring, selecciona  Alertas y, luego, Crear política.
  3. Haz clic en Agregar condición:
    1. En la configuración del panel Destino, se especifican el recurso y la métrica que se supervisarán. En el campo Buscar tipo de recurso y métrica, selecciona logging/user/key_version_destruction. Deja el nombre del recurso vacío.
    2. La configuración del panel Configuración de la política de alertas determina cuándo se activa la alerta. Completa este panel con la configuración de la siguiente tabla.
      Panel Condiciones
      Campo

      Valor
      Condition triggers if Any time series violates
      Condition is above
      Threshold 0
      For most recent value
    3. Haga clic en Add.
  4. Haz clic en Siguiente para avanzar a la sección de notificaciones.
  5. Para agregar notificaciones a tu política de alertas, haz clic en Canales de notificaciones (opcional). En el diálogo, selecciona uno o más canales de notificaciones del menú y, luego, haz clic en Aceptar.

    Si el canal de notificaciones que deseas agregar no aparece en la lista, haz clic en Administrar canales de notificaciones. Se te dirigirá a la página de Canales de notificaciones en una pestaña nueva del navegador. En esta página, puedes actualizar los canales de notificaciones configurados. Después de completar las actualizaciones, regresa a la pestaña original, haz clic en Actualizar y selecciona los canales de notificaciones que deseas agregar a la política de alertas.

  6. Para avanzar a la sección de documentación, haz clic en Siguiente.
  7. Haz clic en Nombre e ingresa un nombre para la política de alertas.
  8. Haz clic en Documentación y, luego, agrega la información que deseas incluir en un mensaje de notificación (opcional).
  9. Haga clic en Save.
Para obtener más información, consulta Políticas de alertas.

A fin de probar tu nueva notificación, programa la destrucción de una versión de clave y revisa tu correo electrónico para ver si se envió.

Esta alerta se activará cada vez que se programe la destrucción de una clave. Dado que la alerta se resolverá automáticamente (a pesar de que la versión de clave seguirá programada para su destrucción), se enviarán dos notificaciones por correo electrónico: una que avisa sobre la destrucción programada y otra que avisa sobre la resolución de la alerta.

Para obtener más información sobre las políticas de alertas, consulta Introducción a las alertas. Para obtener información sobre cómo activar, desactivar, editar, copiar o borrar una política de alerta, consulta Administra políticas.

Consulta Opciones de notificación, para obtener información sobre los distintos tipos de notificación.

Supervisión de actividades administrativas o acceso a los datos

La destrucción programada de una versión de clave es una actividad de administrador. Las actividades de administrador se registran automáticamente. Si deseas crear una alerta sobre el acceso a los datos de un recurso de Cloud KMS (p. ej., supervisar cuándo se usa una clave para la encriptación), debes habilitar los registros de acceso a los datos y crear una política de alerta como se describe en este tema.

Para obtener más información sobre el registro del acceso de datos y de actividades administrativas de Cloud KMS, consulta Usa Cloud Audit Logs con Cloud KMS.

Métricas de cuota de tarifa

Cloud KMS admite las siguientes métricas de cuota de tarifa:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/peak_qps
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Para obtener información sobre cómo supervisar estas cuotas con Cloud Monitoring, consulta Supervisa métricas de cuota.