Cloud KMS での Stackdriver Monitoring の使用

Stackdriver Monitoring を使用すると、Cloud Key Management Service のリソースで実行されるオペレーションをモニタリングできます。

このトピックの内容:

鍵バージョンの破棄がスケジュールされているときのモニタリングの例
その他の Cloud KMS リソースやオペレーションのモニタリングに関する情報

始める前に

次の手順をまだ行っていない場合は、行います。

Google Cloud Platform プロジェクトを設定し、Cloud KMS API を有効にします。これらの手順は、Cloud KMS のクイックスタートに記載されています。
Stackdriver のアカウントを作成します。

カウンタ指標の作成

gcloud logging metrics create コマンドを使用して、スケジュールされた鍵バージョンの破棄の実行をモニタリングするカウンタ指標を作成します。

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

gcloud logging metrics list コマンドを使用すると、カウンタ指標を一覧表示できます。

gcloud logging metrics list

Google Cloud Platform Console および Monitoring API を使用する場合も含め、カウンタ指標の作成の詳細については、カウンタ指標の作成をご覧ください。

アラートポリシーの作成

鍵バージョンの破棄がスケジュールされるたびにメールを送信するためのアラートポリシーを作成します。

GCP Console で [Stackdriver] > [Monitoring] > [Alerting] > [Create a Policy] に移動します。

[Create a Policy] に移動
[Add Condition] をクリックします。
[Target] セクションで、次の操作を行います。
- [Find resource type and metric] の下にある編集ボックスをクリックします。
- プルダウンリストから logging/user/key_version_destruction を選択します。
  
  プルダウンリストから指標を選択すると、条件のタイトルが自動的に入力されます。必要に応じてタイトルを変更できます。
[Configuration] セクションで、次の操作を行います。
- [Condition triggers if] を [Any time series violates] に設定します。
- [Condition] を [is above] に設定します。
- [Threshold] に「0」と入力します。
- [For] では、[most recent value] を選択します。
  
  [Add Metric Threshold Condition] ページは、次のようになります。
[Save] をクリックします。
[Notifications (optional)] で、次の操作を行います。
- [Email] を選択します。
- 通知を受け取るメールアドレスを入力します。
- [Add Notification Channel] をクリックします。
[Documentation (optional)] で、次の操作を行います。
- [Edit] の下にある編集ボックスに、通知に使用するメッセージを入力します。次に例を示します。
```
A key version has been scheduled for destruction.
```
[Name this policy] の下に、「Key version scheduled for destruction」のような名前を入力します。

[Create new alerting policy] ページは、次のようになります。
[Save] をクリックします。

新しい通知をテストするには、鍵バージョンの破棄をスケジュールし、通知が送信されたかどうかメールを確認します。

このアラートは、鍵バージョンの破棄がスケジュールされるたびにトリガーされます。鍵バージョンの破棄がスケジュールされたままであっても、アラートは自動的に解決されます。そのため、破棄のスケジュールに関するメール通知と解決されたアラートに関するメール通知の 2 つが届きます。

アラートポリシーの詳細については、アラートの概要をご覧ください。アラートポリシーを有効化、無効化、編集、コピー、削除する方法については、ポリシーの管理をご覧ください。

通知の種類については、通知オプションをご覧ください。

管理アクティビティのモニタリングとデータアクセスのモニタリング

鍵バージョンのスケジュールされた破棄は、管理者のアクティビティです。管理者のアクティビティは自動的にログに記録されます。Cloud KMS リソースのデータアクセスに関するアラートを作成する場合（鍵が暗号化に使用されたときのモニタリングなど）は、データアクセスログを有効化し、このトピックの説明に従ってアラートポリシーを作成する必要があります。

Cloud KMS の管理アクティビティとデータアクセスのロギングについて詳しくは、Cloud KMS での Cloud 監査ログの使用をご覧ください。

頻度に基づく割り当て指標

Cloud KMS は、次の頻度に基づく割り当て指標をサポートしています。

cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests

Stackdriver Monitoring を使用してこれらの指標をモニタリングする方法については、割り当て指標のモニタリングをご覧ください。

このページは役立ちましたか？評価をお願いいたします。

Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see our Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

最終更新日: 6月 3, 2019