Cloud KMS での Stackdriver Monitoring の使用

Stackdriver Monitoring を使用すると、Cloud Key Management Service のリソースで実行されるオペレーションをモニタリングできます。

このトピックの内容:

• 鍵バージョンの破棄がスケジュールされているときのモニタリングの例
• その他の Cloud KMS リソースやオペレーションのモニタリングに関する情報

始める前に

次の手順をまだ行っていない場合は、行います。

• Google Cloud Platform プロジェクトを設定し、Cloud KMS API を有効にします。これらの手順は、Cloud KMS のクイックスタートに記載されています。

• Stackdriver Workspace を作成します。

カウンタ指標の作成

gcloud logging metrics create コマンドを使用して、スケジュールされた鍵バージョンの破棄の実行をモニタリングするカウンタ指標を作成します。

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

gcloud logging metrics list コマンドを使用すると、カウンタ指標を一覧表示できます。

gcloud logging metrics list

Google Cloud Platform Console および Monitoring API を使用する場合も含め、カウンタ指標の作成の詳細については、カウンタ指標の作成をご覧ください。

アラート ポリシーの作成

鍵バージョンの破棄がスケジュールされるたびにメールを送信するためのアラート ポリシーを作成します。

1. GCP Console で [Stackdriver] > [モニタリング] > [Alerting] > [Create a Policy] に移動します。

   [Create a Policy] に移動

2. [Add Condition] をクリックします。

3. [Target] セクションで、次の操作を行います。

   • [Find resource type and metric] の下にある編集ボックスをクリックします。

   • プルダウン リストから logging/user/key_version_destruction を選択します。

     プルダウン リストから指標を選択すると、条件のタイトルが自動的に入力されます。必要に応じてタイトルを変更できます。

4. [Configuration] セクションで、次の操作を行います。

   • [Condition triggers if] を Any time series violates に設定します。
   • [Condition] を [is above] に設定します。
   • [Threshold] に「0」と入力します。

   • [For] では、[most recent value] を選択します。

     [Add Metric Threshold Condition] ページは、次のようになります。

     

5. [保存] をクリックします。

6. [Notifications (optional)] で、次の操作を行います。

   • [Email] を選択します。
   • 通知を受け取るメールアドレスを入力します。
   • [Add Notification Channel] をクリックします。

7. [Documentation (optional)] で、次の操作を行います。

   • [Edit] の下にある編集ボックスに、通知に使用するメッセージを入力します。例:

     A key version has been scheduled for destruction.
     

8. [Name this policy] の下に、「Key version scheduled for destruction」のような名前を入力します。

   [Create new alerting policy] ページは、次のようになります。

   

9. [保存] をクリックします。

新しい通知をテストするには、鍵バージョンの破棄をスケジュールし、通知が送信されたかどうかメールを確認します。

このアラートは、鍵バージョンの破棄がスケジュールされるたびにトリガーされます。鍵バージョンの破棄がスケジュールされたままであっても、アラートは自動的に解決されます。そのため、破棄のスケジュールに関するメール通知と解決されたアラートに関するメール通知の 2 つが届きます。

アラート ポリシーの詳細については、アラートの概要をご覧ください。アラート ポリシーを有効化、無効化、編集、コピー、削除する方法については、ポリシーの管理をご覧ください。

通知の種類については、通知オプションをご覧ください。

管理アクティビティのモニタリングとデータアクセスのモニタリング

鍵バージョンのスケジュールされた破棄は、管理者のアクティビティです。 管理者のアクティビティは自動的にログに記録されます。Cloud KMS リソースのデータアクセスに関するアラートを作成する場合（鍵が暗号化に使用されたときのモニタリングなど）は、データアクセス ログを有効化し、このトピックの説明に従ってアラート ポリシーを作成する必要があります。

Cloud KMS の管理アクティビティとデータアクセスのロギングについて詳しくは、Cloud KMS での Cloud 監査ログの使用をご覧ください。

頻度に基づく割り当て指標

Cloud KMS は、次の頻度に基づく割り当て指標をサポートしています。

• cloudkms.googleapis.com/crypto_requests
• cloudkms.googleapis.com/hsm_asymmetric_requests
• cloudkms.googleapis.com/hsm_symmetric_requests
• cloudkms.googleapis.com/read_requests
• cloudkms.googleapis.com/write_requests

Stackdriver Monitoring を使用してこれらの指標をモニタリングする方法については、割り当て指標のモニタリングをご覧ください。