Cloud KMS での Cloud Monitoring の使用

Cloud Monitoring を使用すると、Cloud Key Management Service のリソースに対して実行されるオペレーションをモニタリングできます。

このトピックの内容:

  • 鍵バージョンの破棄がスケジュールされているときのモニタリングの例
  • その他の Cloud KMS リソースやオペレーションのモニタリングに関する情報

始める前に

まだ設定していない場合は、Cloud Key Management Service API が有効になっている Google Cloud プロジェクトを設定します。これらの手順は、Cloud KMS のクイックスタートに記載されています。

カウンタ指標の作成

gcloud logging metrics create コマンドを使用して、スケジュールされた鍵バージョンの破棄の実行をモニタリングするカウンタ指標を作成します。

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

gcloud logging metrics list コマンドを使用すると、カウンタ指標を一覧表示できます。

gcloud logging metrics list

Google Cloud Console や Monitoring API を使用するなど、カウンタ指標の作成の詳細については、カウンタ指標の作成をご覧ください。

アラート ポリシーを作成する

アラート ポリシーを作成して指標の値をモニタリングすると、指標が条件に違反した場合に通知できます。

  1. Google Cloud コンソールのナビゲーション パネルで、[Monitoring] を選択してから、[アラート] を選択します。

    アラートに移動

  2. 通知チャンネルを作成せずに通知を受け取る場合は、[EDIT NOTIFICATION CHANNELS] をクリックして、通知チャンネルを追加します。チャンネルを追加したら、[アラート] ページに戻ります。
  3. [アラート] ページで、[CREATE POLICY] をクリックします。
  4. 指標を選択するには、[指標の選択] メニューを開き、次の操作を行います。
    1. メニューを関連するエントリに限定するには、フィルタバーに「key_version」と入力します。結果が表示されない場合は、[有効なリソースと指標のみを表示] をオフに切り替えます。
    2. [リソースの種類] で [グローバル] を選択します。
    3. [指標カテゴリ] で、[ログベースの指標] を選択します。
    4. [指標] で「logging/user/key_version_destruction」を選択します。
    5. [適用] を選択します。
  5. [次へ] をクリックします。
  6. [Configure alert trigger] ページの設定によって、アラートがトリガーされるタイミングが決まります。次のテーブルの設定を使用して、このページに入力します。
    [Configure alert trigger] ページ
    フィールド
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. [次へ] をクリックします。
  8. (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャンネルを選択し、[OK] をクリックします。
  9. (省略可)インシデントの自動クローズ期間を更新します。このフィールドは、指標データがない場合に Monitoring がインシデントを閉じるタイミングを決定します。
  10. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  11. [アラート名] をクリックして、アラート ポリシーの名前を入力します。
  12. [Create Policy] をクリックします。
詳細については、アラート ポリシーをご覧ください。

新しい通知をテストするには、鍵バージョンの破棄をスケジュールし、通知が送信されたかどうかメールを確認します。

このアラートは、鍵バージョンの破棄がスケジュールされるたびにトリガーされます。鍵バージョンの破棄がスケジュールされたままであっても、アラートは自動的に解決されます。そのため、破棄のスケジュールに関するメール通知と解決されたアラートに関するメール通知の 2 つが届きます。

アラート ポリシーの詳細については、アラートの概要をご覧ください。アラート ポリシーを有効化、無効化、編集、コピー、削除する方法については、ポリシーの管理をご覧ください。

通知の種類については、通知オプションをご覧ください。

管理アクティビティのモニタリングとデータアクセスのモニタリング

鍵バージョンのスケジュールされた破棄は、管理者のアクティビティです。 管理者のアクティビティは自動的にログに記録されます。Cloud KMS リソースのデータアクセスに関するアラートを作成する場合(鍵が暗号化に使用されたときのモニタリングなど)は、データアクセス ログを有効化し、このトピックの説明に従ってアラート ポリシーを作成する必要があります。

Cloud KMS の管理アクティビティとデータアクセスのロギングについて詳しくは、Cloud KMS での Cloud 監査ログの使用をご覧ください。

頻度に基づく割り当て指標

Cloud KMS は、次の頻度に基づく割り当て指標をサポートしています。

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Cloud Monitoring を使用したこれらの割り当てのモニタリングの詳細については、割り当て指標のモニタリングをご覧ください。

次のステップ