Cloud Monitoring を使用すると、Cloud Key Management Service のリソースに対して実行されるオペレーションをモニタリングできます。
このトピックの内容:
- 鍵バージョンの破棄がスケジュールされているときのモニタリングの例
- その他の Cloud KMS リソースやオペレーションのモニタリングに関する情報
始める前に
次の手順をまだ行っていない場合は、行います。
Cloud Key Management Service API が有効な Google Cloud プロジェクトを設定します。これらの手順は、Cloud KMS のクイックスタートに記載されています。
-
次の手順で、プロジェクト用に Cloud Monitoring ワークスペースを構成します。
- Cloud Console で、Google Cloud プロジェクトを選択します。
Cloud Console に移動 - ナビゲーション パネルで [Monitoring] を選択します。
Cloud Monitoring を初めて使用する場合は、Google Cloud Console の [Monitoring] への最初のアクセス時に、ワークスペースが自動的に作成され、プロジェクトがそのワークスペースに関連付けられます。それ以外の場合に、プロジェクトがワークスペースに関連付けられていないときは、ダイアログが表示され、新しいワークスペースを作成するか、このプロジェクトを既存のワークスペースに追加できるようになります。ワークスペースを作成することをおすすめします。選択したら、[追加] をクリックします。
- Cloud Console で、Google Cloud プロジェクトを選択します。
カウンタ指標の作成
gcloud logging metrics create コマンドを使用して、スケジュールされた鍵バージョンの破棄の実行をモニタリングするカウンタ指標を作成します。
gcloud logging metrics create key_version_destruction \ --description "Key version scheduled for destruction" \ --log-filter "resource.type=cloudkms_cryptokeyversion \ AND protoPayload.methodName=DestroyCryptoKeyVersion"
gcloud logging metrics list コマンドを使用すると、カウンタ指標を一覧表示できます。
gcloud logging metrics list
Google Cloud Console や Monitoring API を使用するなど、カウンタ指標の作成の詳細については、カウンタ指標の作成をご覧ください。
アラート ポリシーの作成
アラート ポリシーを作成して指標の値をモニタリングすると、条件に違反した場合に通知できます。
1 つ以上のリソースをモニタリングするアラート ポリシーを作成する手順は次のとおりです。
- Google Cloud Console で、[モニタリング] ページに移動します。
Cloud Monitoring を初めて使用する場合は、Google Cloud Console の [Monitoring] への最初のアクセス時に、ワークスペースが自動的に作成され、プロジェクトがそのワークスペースに関連付けられます。それ以外の場合に、プロジェクトがワークスペースに関連付けられていないときは、ダイアログが表示され、新しいワークスペースを作成するか、このプロジェクトを既存のワークスペースに追加できるようになります。ワークスペースを作成することをおすすめします。選択したら、[Add] をクリックします。
- Monitoring のナビゲーション パネルで notifications [アラート] を選択し、次に [Create Policy] を選択します。
- [Add Condition] をクリックします。
- [ターゲット] ペインの設定で、モニタリングするリソースと指標を指定します。[Find resource type and metric] フィールドで、[logging/user/key_version_destruction] を選択します。リソース名は空のままにします。
- アラート ポリシーの [Configuration] ペインの設定で、アラートがトリガーされるタイミングを決定します。次のテーブルの設定を使用して、このペインに入力します。
[条件] ペイン
フィールド
値Condition triggers ifAny time series violatesConditionis aboveThreshold0Formost recent value - [追加] をクリックします。
- 通知セクションに移動するには、[次へ] をクリックします。
- (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャネルを選択し、[OK] をクリックします。
追加する通知チャネルが一覧にない場合は、[通知チャネルを管理] をクリックします。新しいブラウザタブの [通知チャネル] ページが表示されます。このページで、構成された通知チャンネルを更新できます。更新が完了したら、元のタブに戻って autorenew 更新アイコンをクリックし、アラート ポリシーに追加する通知チャンネルを選択します。
- ドキュメントのセクションに移動するには、[次へ] をクリックします。
- [名前] をクリックし、アラート ポリシーの名前を入力します。
- (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
- [Save] をクリックします。
新しい通知をテストするには、鍵バージョンの破棄をスケジュールし、通知が送信されたかどうかメールを確認します。
このアラートは、鍵バージョンの破棄がスケジュールされるたびにトリガーされます。鍵バージョンの破棄がスケジュールされたままであっても、アラートは自動的に解決されます。そのため、破棄のスケジュールに関するメール通知と解決されたアラートに関するメール通知の 2 つが届きます。
アラート ポリシーの詳細については、アラートの概要をご覧ください。アラート ポリシーを有効化、無効化、編集、コピー、削除する方法については、ポリシーの管理をご覧ください。
通知の種類については、通知オプションをご覧ください。
管理アクティビティのモニタリングとデータアクセスのモニタリング
鍵バージョンのスケジュールされた破棄は、管理者のアクティビティです。 管理者のアクティビティは自動的にログに記録されます。Cloud KMS リソースのデータアクセスに関するアラートを作成する場合(鍵が暗号化に使用されたときのモニタリングなど)は、データアクセス ログを有効化し、このトピックの説明に従ってアラート ポリシーを作成する必要があります。
Cloud KMS の管理アクティビティとデータアクセスのロギングについて詳しくは、Cloud KMS での Cloud 監査ログの使用をご覧ください。
頻度に基づく割り当て指標
Cloud KMS は、次の頻度に基づく割り当て指標をサポートしています。
cloudkms.googleapis.com/crypto_requestscloudkms.googleapis.com/hsm_asymmetric_requestscloudkms.googleapis.com/hsm_symmetric_requestscloudkms.googleapis.com/peak_qpscloudkms.googleapis.com/read_requestscloudkms.googleapis.com/write_requests
Cloud Monitoring を使用したこれらの割り当てのモニタリングの詳細については、割り当て指標のモニタリングをご覧ください。