Utiliser Cloud Monitoring avec Cloud KMS

Cloud Monitoring peut être utilisé pour surveiller les opérations effectuées sur les ressources dans Cloud Key Management Service.

Cet article comprend :

  • un exemple de surveillance lorsqu'une version de clé est programmée pour destruction ;
  • des informations sur la surveillance d'autres ressources et opérations Cloud KMS.

Avant de commencer

Si vous ne l'avez pas déjà fait, configurez un projet Google Cloud pour lequel l'API Cloud Key Management Service est activée. Ces étapes sont documentées dans le démarrage rapide de Cloud KMS.

Créer une métrique de compteur

Exécutez la commande gcloud logging metrics create pour créer une métrique de compteur qui surveillera toute occurrence de la destruction planifiée d'une version de clé.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Vous pouvez répertorier les métriques de compteur à l'aide de la commande gcloud logging metrics list :

gcloud logging metrics list

Pour en savoir plus sur la création d'une métrique de compteur, y compris via Google Cloud Console et l'API Monitoring, consultez la page Créer une métrique de compteur.

Créer une règle d'alerte

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

Pour créer une règle d'alerte qui surveille une ou plusieurs ressources, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page Monitoring.

    Accéder à Monitoring

  2. Dans le volet de navigation "Monitoring", sélectionnez  Alertes, puis Créer une règle.
  3. Si vous souhaitez suivre ces instructions et si le bouton Revenir à l'ancienne interface utilisateur s'affiche, cliquez dessus. Vous pouvez créer une règle d'alerte à l'aide de l'interface bêta. Ces instructions concernent toutefois l'ancienne interface utilisateur.
  4. Cliquez sur Ajouter une condition :
    1. Les paramètres du volet Cible permettent de spécifier la ressource et la métrique à surveiller. Dans le champ Rechercher un type de ressource et une métrique, sélectionnez logging/user/key_version_destruction. Laissez le nom de la ressource vide.
    2. Les paramètres du volet Configuration de la règle d'alerte déterminent le moment où l'alerte se déclenche. Remplissez ce volet avec les paramètres du tableau suivant.
      Champ du
      volet Conditions

      Valeur
      Condition triggers if Any time series violates
      Condition is above
      Threshold 0
      For most recent value
    3. Cliquez sur Ajouter.
  5. Pour accéder à la section "Notifications", cliquez sur Suivant.
  6. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.

    Si un canal de notification que vous souhaitez ajouter n'est pas répertorié, cliquez sur Gérer les canaux de notification. La page Canaux de notification s'affiche dans un nouvel onglet du navigateur. Sur cette page, vous pouvez mettre à jour les canaux de notification configurés. Une fois vos mises à jour effectuées, revenez à l'onglet d'origine, cliquez sur Actualiser, puis sélectionnez les canaux de notification à ajouter à la règle d'alerte.

  7. Pour accéder à la section "Documentation", cliquez sur Suivant.
  8. Cliquez sur Nom et saisissez un nom pour la règle d'alerte.
  9. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  10. Cliquez sur Enregistrer.
Pour plus d'informations, consultez la page Règles d'alerte.

Pour tester la nouvelle notification, programmez la destruction d'une version de clé, puis consultez votre boîte de réception pour voir si la notification a été envoyée.

Cette alerte est déclenchée chaque fois qu'une clé a été programmée pour être détruite. Notez que l'alerte sera automatiquement résolue, même si la version de clé reste programmée pour destruction. Vous recevrez ainsi deux notifications par e-mail, une pour la destruction programmée et une autre pour l'alerte en cours de résolution.

Pour en savoir plus sur les règles d'alerte, consultez la section Présentation des alertes. Pour plus d'informations sur l'activation, la désactivation, la modification, la copie ou la suppression d'une règle d'alerte, consultez la section Gérer des règles.

Pour plus d'informations sur les différents types de notifications, consultez la section Options de notification.

Surveiller les activités d'administration ou l'accès aux données

La destruction programmée d'une version de clé est une activité d'administration. Les activités d'administration sont automatiquement consignées. Si vous souhaitez créer une alerte pour l'accès aux données d'une ressource Cloud KMS, par exemple lorsqu'une clé est utilisée à des fins de chiffrement, vous devez activer les journaux d'accès aux données, puis créer une règle d'alerte comme décrit dans cet article.

Pour plus d'informations sur la journalisation des activités administratives et l'accès aux données Cloud KMS, consultez la section Utiliser Cloud Audit Logging avec Cloud KMS.

Métriques de quota

Cloud KMS accepte les métriques de quota suivantes :

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Pour plus d'informations sur la surveillance de ces quotas à l'aide de Cloud Monitoring, consultez la section Surveiller des métriques de quota.