Cloud KMS での Cloud Monitoring の使用

Cloud Monitoring を使用すると、Cloud Key Management Service のリソースに対して実行されるオペレーションをモニタリングできます。

このトピックの内容:

  • 鍵バージョンの破棄がスケジュールされているときのモニタリングの例
  • その他の Cloud KMS リソースやオペレーションのモニタリングに関する情報

始める前に

まだ行っていない場合は、Cloud Key Management Service API が有効になっている Google Cloud プロジェクトを設定します。これらの手順は、Cloud KMS のクイックスタートに記載されています。

カウンタ指標の作成

gcloud logging metrics create コマンドを使用して、スケジュールされた鍵バージョンの破棄の実行をモニタリングするカウンタ指標を作成します。

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

gcloud logging metrics list コマンドを使用すると、カウンタ指標を一覧表示できます。

gcloud logging metrics list

Google Cloud Console や Monitoring API を使用するなど、カウンタ指標の作成の詳細については、カウンタ指標の作成をご覧ください。

アラート ポリシーの作成

アラート ポリシーを作成して指標の値をモニタリングすると、条件に違反した場合に通知できます。

1 つ以上のリソースをモニタリングするアラート ポリシーを作成する手順は次のとおりです。

  1. Google Cloud Console で、[モニタリング] ページに移動します。

    [Monitoring] に移動

  2. Monitoring のナビゲーション パネルで [アラート] を選択し、次に [Create Policy] を選択します。
  3. [Add Condition] をクリックします。
    1. [ターゲット] ペインの設定で、モニタリングするリソースと指標を指定します。[Find resource type and metric] フィールドで、[logging/user/key_version_destruction] を選択します。リソース名は空のままにします。
    2. アラート ポリシーの [Configuration] ペインの設定で、アラートがトリガーされるタイミングを決定します。次のテーブルの設定を使用して、このペインに入力します。
      [条件] ペイン
      フィールド
      Condition triggers if Any time series violates
      Condition is above
      Threshold 0
      For most recent value
    3. [追加] をクリックします。
  4. 通知セクションに移動するには、[次へ] をクリックします。
  5. (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャネルを選択し、[OK] をクリックします。

    追加する通知チャネルが一覧にない場合は、[通知チャネルを管理] をクリックします。新しいブラウザタブの [通知チャネル] ページが表示されます。このページで、構成された通知チャンネルを更新できます。更新が完了したら、元のタブに戻って 更新アイコンをクリックし、アラート ポリシーに追加する通知チャンネルを選択します。

  6. ドキュメントのセクションに移動するには、[次へ] をクリックします。
  7. [名前] をクリックし、アラート ポリシーの名前を入力します。
  8. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  9. [Save] をクリックします。
詳細については、アラート ポリシーをご覧ください。

新しい通知をテストするには、鍵バージョンの破棄をスケジュールし、通知が送信されたかどうかメールを確認します。

このアラートは、鍵バージョンの破棄がスケジュールされるたびにトリガーされます。鍵バージョンの破棄がスケジュールされたままであっても、アラートは自動的に解決されます。そのため、破棄のスケジュールに関するメール通知と解決されたアラートに関するメール通知の 2 つが届きます。

アラート ポリシーの詳細については、アラートの概要をご覧ください。アラート ポリシーを有効化、無効化、編集、コピー、削除する方法については、ポリシーの管理をご覧ください。

通知の種類については、通知オプションをご覧ください。

管理アクティビティのモニタリングとデータアクセスのモニタリング

鍵バージョンのスケジュールされた破棄は、管理者のアクティビティです。 管理者のアクティビティは自動的にログに記録されます。Cloud KMS リソースのデータアクセスに関するアラートを作成する場合(鍵が暗号化に使用されたときのモニタリングなど)は、データアクセス ログを有効化し、このトピックの説明に従ってアラート ポリシーを作成する必要があります。

Cloud KMS の管理アクティビティとデータアクセスのロギングについて詳しくは、Cloud KMS での Cloud 監査ログの使用をご覧ください。

頻度に基づく割り当て指標

Cloud KMS は、次の頻度に基づく割り当て指標をサポートしています。

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/peak_qps
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Cloud Monitoring を使用したこれらの割り当てのモニタリングの詳細については、割り当て指標のモニタリングをご覧ください。