Utilizzo di Cloud Monitoring con Cloud KMS

Cloud Monitoring può essere utilizzato per monitorare le operazioni eseguite sulle risorse in Cloud Key Management Service.

Questo argomento fornisce:

  • Un esempio di monitoraggio quando viene pianificata l'eliminazione di una versione della chiave.
  • sul monitoraggio di altre risorse e operazioni Cloud KMS

Prima di iniziare

Se non l'hai ancora fatto, configura un progetto Google Cloud per cui è abilitata l'API Cloud Key Management Service. Questi passaggi sono documentati nella guida rapida di Cloud KMS.

Creare una metrica sui contatori

Utilizza il comando gcloud logging metrics create per creare una metrica del contatore che monitori qualsiasi occorrenza dell'eliminazione pianificata di una versione della chiave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Per elencare le metriche del contatore, utilizza il comando gcloud logging metrics list:

gcloud logging metrics list

Per ulteriori informazioni sulla creazione di una metrica contatore, anche tramite Google Cloud Console e l'API Monitoring, consulta Creazione di una metrica contatore.

Crea un criterio di avviso

Puoi creare criteri di avviso per monitorare i valori delle metriche e per ricevere notifiche quando tali metriche violano una condizione.

  1. In Google Cloud Console, vai alla pagina Monitoraggio.

    Vai a Monitoring

  2. Nel riquadro di navigazione di Monitoring, seleziona Avvisi.
  3. Se non hai creato canali per le notifiche e se vuoi ricevere una notifica, fai clic su Modifica canali di notifica e aggiungi i canali. Torna alla pagina Avvisi dopo aver aggiunto i canali.
  4. Nella pagina Avvisi, seleziona Crea criterio.
  5. Per selezionare la metrica, espandi il menu Seleziona una metrica, quindi procedi nel seguente modo:
    1. Per limitare il menu alle voci pertinenti, inserisci key_version nella barra dei filtri. Se dopo aver filtrato il menu non viene visualizzato alcun risultato, disattiva l'opzione Mostra solo le risorse attive e le metriche.
    2. In Tipo di risorsa, seleziona Globale.
    3. In Categoria metrica, seleziona Metrica basata su log.
    4. Per la metrica, seleziona logging/user/key_version_destruction.
    5. Seleziona Applica.
  6. Tocca Avanti.
  7. Le impostazioni nella pagina Configura trigger di avviso determinano quando viene attivato l'avviso. Completa questa pagina con le impostazioni riportate nella seguente tabella.
    Pagina Configura trigger di avviso

    Valore
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  8. Tocca Avanti.
  9. (Facoltativo) Per aggiungere notifiche al criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e poi fai clic su OK.
  10. (Facoltativo) Aggiorna la durata della chiusura automatica degli incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati relativi alle metriche.
  11. (Facoltativo) Fai clic su Documentazione e aggiungi le informazioni che vuoi includere in un messaggio di notifica.
  12. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  13. Fai clic su Crea criterio.
Per ulteriori informazioni, vedi Criteri di avviso.

Per testare la nuova notifica, pianifica l'eliminazione di una versione della chiave e controlla la tua email per vedere se è stata inviata.

Questo avviso verrà attivato ogni volta che è stata pianificata l'eliminazione di una versione della chiave. Tieni presente che l'avviso verrà risolto automaticamente (anche se la versione della chiave continua a essere eliminata), pertanto ci saranno due notifiche email, una per l'eliminazione pianificata e l'altra per la risoluzione.

Per ulteriori informazioni sui criteri di avviso, consulta la sezione Introduzione agli avvisi. Per informazioni su come attivare, disattivare, modificare, copiare o eliminare un criterio di avviso, consulta la sezione Gestire i criteri.

Per informazioni sui diversi tipi di notifiche, consulta le Opzioni di notifica.

Monitoraggio delle attività amministrative e dell'accesso ai dati

L'eliminazione pianificata di una versione della chiave è un'attività amministratore. Le attività dell'amministratore vengono registrate automaticamente. Se vuoi creare un avviso per l'accesso ai dati di una risorsa Cloud KMS, ad esempio per monitorare quando viene utilizzata una chiave per la crittografia, devi attivare i log di accesso ai dati e quindi creare un criterio di avviso come descritto in questo argomento.

Per ulteriori informazioni sul logging delle attività amministrative di Cloud KMS e sull'accesso ai dati, consulta Utilizzo degli audit log di Cloud con Cloud KMS.

Metriche della quota di frequenza

Cloud KMS supporta le seguenti metriche delle quote di frequenza:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Per informazioni sul monitoraggio di queste quote utilizzando Cloud Monitoring, consulta Monitoraggio delle metriche delle quote.