Utiliser Cloud Monitoring avec Cloud KMS

Cloud Monitoring peut être utilisé pour surveiller les opérations effectuées sur les ressources dans Cloud Key Management Service.

Cet article comprend :

  • un exemple de surveillance lorsqu'une version de clé est programmée pour destruction ;
  • des informations sur la surveillance d'autres ressources et opérations Cloud KMS.

Avant de commencer

Si vous ne l'avez pas déjà fait, configurez un projet Google Cloud pour lequel l'API Cloud Key Management Service est activée. Ces étapes sont documentées dans le Guide de démarrage rapide de Cloud KMS.

Créer une métrique de compteur

Exécutez la commande gcloud logging metrics create pour créer une métrique de compteur qui surveillera toute occurrence de la destruction planifiée d'une version de clé.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Vous pouvez répertorier les métriques de compteur à l'aide de la commande gcloud logging metrics list :

gcloud logging metrics list

Pour en savoir plus sur la création d'une métrique de compteur, y compris via Google Cloud Console et l'API Monitoring, consultez Créer une métrique de compteur.

Créer une règle d'alerte

Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.

  1. Dans Google Cloud Console, accédez à la page Monitoring.

    Accéder à Monitoring

  2. Dans le volet de navigation Monitoring, sélectionnez  Alertes :
  3. Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
  4. Sur la page Alertes, cliquez sur Créer une règle.
  5. Pour sélectionner la métrique, développez le menu Select a metric (Sélectionner une métrique), puis procédez comme suit :
    1. Pour limiter le menu aux entrées pertinentes, saisissez key_version dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives.
    2. Pour Resource type (Type de ressource), sélectionnez Global (Mondial).
    3. Pour Metric Category (Catégorie de métrique), sélectionnez Logs-Based Metric (Métrique basée sur les journaux).
    4. Pour Metric (Métrique), sélectionnez logging/user/key_version_destruction.
    5. Sélectionnez Apply (Appliquer).
  6. Cliquez sur Suivant.
  7. Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche. Complétez cette page avec les paramètres du tableau suivant.
    Page Configurer un déclencheur d'alerte
    Champ

    Valeur
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  8. Cliquez sur Suivant.
  9. Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
  10. (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
  11. Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
  12. Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
  13. Cliquez sur Créer une stratégie.
Pour en savoir plus, consultez la section Règles d'alerte.

Pour tester la nouvelle notification, programmez la destruction d'une version de clé, puis consultez votre boîte de réception pour voir si la notification a été envoyée.

Cette alerte est déclenchée chaque fois qu'une clé a été programmée pour être détruite. Notez que l'alerte sera automatiquement résolue, même si la version de clé reste programmée pour destruction. Vous recevrez ainsi deux notifications par e-mail, une pour la destruction programmée et une autre pour l'alerte en cours de résolution.

Pour en savoir plus sur les règles d'alerte, consultez la section Présentation des alertes. Pour plus d'informations sur l'activation, la désactivation, la modification, la copie ou la suppression d'une règle d'alerte, consultez la section Gérer des règles.

Pour plus d'informations sur les différents types de notifications, consultez la section Options de notification.

Surveiller les activités d'administration ou l'accès aux données

La destruction programmée d'une version de clé est une activité d'administration. Les activités d'administration sont automatiquement consignées. Si vous souhaitez créer une alerte pour l'accès aux données d'une ressource Cloud KMS, par exemple lorsqu'une clé est utilisée à des fins de chiffrement, vous devez activer les journaux d'accès aux données, puis créer une règle d'alerte comme décrit dans cet article.

Pour plus d'informations sur la journalisation des activités administratives et l'accès aux données Cloud KMS, consultez la section Utiliser Cloud Audit Logging avec Cloud KMS.

Métriques de quota

Cloud KMS accepte les métriques de quota suivantes :

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Pour plus d'informations sur la surveillance de ces quotas à l'aide de Cloud Monitoring, consultez la section Surveiller des métriques de quota.