Cloud KMS での Cloud Monitoring の使用

Cloud Monitoring を使用すると、Cloud Key Management Service のリソースに対して実行されるオペレーションをモニタリングできます。

このトピックの内容:

鍵バージョンの破棄がスケジュールされているときのモニタリングの例
その他の Cloud KMS リソースやオペレーションのモニタリングに関する情報

始める前に

まだ設定していない場合は、Cloud Key Management Service API が有効になっている Google Cloud プロジェクトを設定します。これらの手順は、Cloud KMS のクイックスタートに記載されています。

カウンタ指標の作成

gcloud logging metrics create コマンドを使用して、スケジュールされた鍵バージョンの破棄の実行をモニタリングするカウンタ指標を作成します。

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

gcloud logging metrics list コマンドを使用すると、カウンタ指標を一覧表示できます。

gcloud logging metrics list

Google Cloud Console や Monitoring API を使用するなど、カウンタ指標の作成の詳細については、カウンタ指標の作成をご覧ください。

アラートポリシーの作成

アラートポリシーを作成して指標の値をモニタリングすると、条件に違反した場合に通知できます。

1 つ以上のリソースをモニタリングするアラートポリシーを作成する手順は次のとおりです。

Google Cloud Console で、[モニタリング] ページに移動します。
[Monitoring] に移動
Monitoring のナビゲーションパネルで [アラート] を選択し、次に [Create Policy] を選択します。
この手順を進めるにあたり、[RETURN TO LEGACY UI] ボタンが表示されている場合はクリックしてください。アラートポリシーを作成するには、プレビュー版インターフェースを使用します。ただし、この手順は以前の UI を対象としています。
[ADD CONDITION] をクリックします。
1. [ターゲット] ペインの設定で、モニタリングするリソースと指標を指定します。[Find resource type and metric] フィールドで、[logging/user/key_version_destruction] を選択します。リソース名は空のままにします。
2. アラートポリシーの [Configuration] ペインの設定で、アラートがトリガーされるタイミングを決定します。次のテーブルの設定を使用して、このペインに入力します。
  
  [条件] ペイン
  フィールド
  値
  
  Condition triggers if Any time series violates
  
  Condition is above
  
  Threshold 0
  
  For most recent value
3. [追加] をクリックします。
通知セクションに移動するには、[次へ] をクリックします。
（省略可）アラートポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャネルを選択し、[OK] をクリックします。
追加する通知チャネルが一覧にない場合は、[通知チャネルを管理] をクリックします。新しいブラウザタブの [通知チャネル] ページが表示されます。このページで、構成された通知チャンネルを更新できます。更新が完了したら、元のタブに戻って更新アイコンをクリックし、アラートポリシーに追加する通知チャンネルを選択します。
ドキュメントのセクションに移動するには、[次へ] をクリックします。
[名前] をクリックし、アラートポリシーの名前を入力します。
（省略可）[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
[Save] をクリックします。

[条件] ペインフィールド	値
`Condition triggers if`	`Any time series violates`
`Condition`	`is above`
`Threshold`	`0`
`For`	`most recent value`

詳細については、アラートポリシーをご覧ください。

新しい通知をテストするには、鍵バージョンの破棄をスケジュールし、通知が送信されたかどうかメールを確認します。

このアラートは、鍵バージョンの破棄がスケジュールされるたびにトリガーされます。鍵バージョンの破棄がスケジュールされたままであっても、アラートは自動的に解決されます。そのため、破棄のスケジュールに関するメール通知と解決されたアラートに関するメール通知の 2 つが届きます。

アラートポリシーの詳細については、アラートの概要をご覧ください。アラートポリシーを有効化、無効化、編集、コピー、削除する方法については、ポリシーの管理をご覧ください。

通知の種類については、通知オプションをご覧ください。

管理アクティビティのモニタリングとデータアクセスのモニタリング

鍵バージョンのスケジュールされた破棄は、管理者のアクティビティです。管理者のアクティビティは自動的にログに記録されます。Cloud KMS リソースのデータアクセスに関するアラートを作成する場合（鍵が暗号化に使用されたときのモニタリングなど）は、データアクセスログを有効化し、このトピックの説明に従ってアラートポリシーを作成する必要があります。

Cloud KMS の管理アクティビティとデータアクセスのロギングについて詳しくは、Cloud KMS での Cloud 監査ログの使用をご覧ください。

頻度に基づく割り当て指標

Cloud KMS は、次の頻度に基づく割り当て指標をサポートしています。

cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests

Cloud Monitoring を使用したこれらの割り当てのモニタリングの詳細については、割り当て指標のモニタリングをご覧ください。