Cloud Monitoring を使用すると、Cloud Key Management Service のリソースに対して実行されるオペレーションをモニタリングできます。
このトピックの内容:
- 鍵バージョンの破棄がスケジュールされているときのモニタリングの例
- その他の Cloud KMS リソースやオペレーションのモニタリングに関する情報
始める前に
まだ設定していない場合は、Cloud Key Management Service API が有効になっている Google Cloud プロジェクトを設定します。これらの手順は、Cloud KMS のクイックスタートに記載されています。
カウンタ指標の作成
gcloud logging metrics create
コマンドを使用して、スケジュールされた鍵バージョンの破棄の実行をモニタリングするカウンタ指標を作成します。
gcloud logging metrics create key_version_destruction \ --description "Key version scheduled for destruction" \ --log-filter "resource.type=cloudkms_cryptokeyversion \ AND protoPayload.methodName=DestroyCryptoKeyVersion"
gcloud logging metrics list
コマンドを使用すると、カウンタ指標を一覧表示できます。
gcloud logging metrics list
Google Cloud Console や Monitoring API を使用するなど、カウンタ指標の作成の詳細については、カウンタ指標の作成をご覧ください。
アラート ポリシーの作成
アラート ポリシーを作成して指標の値をモニタリングすると、条件に違反した場合に通知できます。
1 つ以上のリソースをモニタリングするアラート ポリシーを作成する手順は次のとおりです。
- Google Cloud Console で、[モニタリング] ページに移動します。
- Monitoring のナビゲーション パネルで notifications [アラート] を選択し、次に [Create Policy] を選択します。
- この手順を進めるにあたり、[RETURN TO LEGACY UI] ボタンが表示されている場合はクリックしてください。アラート ポリシーを作成するには、プレビュー版インターフェースを使用します。ただし、この手順は以前の UI を対象としています。
- [ADD CONDITION] をクリックします。
- [ターゲット] ペインの設定で、モニタリングするリソースと指標を指定します。[Find resource type and metric] フィールドで、[logging/user/key_version_destruction] を選択します。リソース名は空のままにします。
- アラート ポリシーの [Configuration] ペインの設定で、アラートがトリガーされるタイミングを決定します。次のテーブルの設定を使用して、このペインに入力します。
[条件] ペイン
フィールド
値Condition triggers if
Any time series violates
Condition
is above
Threshold
0
For
most recent value
- [追加] をクリックします。
- 通知セクションに移動するには、[次へ] をクリックします。
- (省略可)アラート ポリシーに通知を追加するには、[通知チャネル] をクリックします。ダイアログで、メニューから 1 つ以上の通知チャネルを選択し、[OK] をクリックします。
追加する通知チャネルが一覧にない場合は、[通知チャネルを管理] をクリックします。新しいブラウザタブの [通知チャネル] ページが表示されます。このページで、構成された通知チャンネルを更新できます。更新が完了したら、元のタブに戻って autorenew 更新アイコンをクリックし、アラート ポリシーに追加する通知チャンネルを選択します。
- ドキュメントのセクションに移動するには、[次へ] をクリックします。
- [名前] をクリックし、アラート ポリシーの名前を入力します。
- (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
- [Save] をクリックします。
新しい通知をテストするには、鍵バージョンの破棄をスケジュールし、通知が送信されたかどうかメールを確認します。
このアラートは、鍵バージョンの破棄がスケジュールされるたびにトリガーされます。鍵バージョンの破棄がスケジュールされたままであっても、アラートは自動的に解決されます。そのため、破棄のスケジュールに関するメール通知と解決されたアラートに関するメール通知の 2 つが届きます。
アラート ポリシーの詳細については、アラートの概要をご覧ください。アラート ポリシーを有効化、無効化、編集、コピー、削除する方法については、ポリシーの管理をご覧ください。
通知の種類については、通知オプションをご覧ください。
管理アクティビティのモニタリングとデータアクセスのモニタリング
鍵バージョンのスケジュールされた破棄は、管理者のアクティビティです。 管理者のアクティビティは自動的にログに記録されます。Cloud KMS リソースのデータアクセスに関するアラートを作成する場合(鍵が暗号化に使用されたときのモニタリングなど)は、データアクセス ログを有効化し、このトピックの説明に従ってアラート ポリシーを作成する必要があります。
Cloud KMS の管理アクティビティとデータアクセスのロギングについて詳しくは、Cloud KMS での Cloud 監査ログの使用をご覧ください。
頻度に基づく割り当て指標
Cloud KMS は、次の頻度に基づく割り当て指標をサポートしています。
cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests
Cloud Monitoring を使用したこれらの割り当てのモニタリングの詳細については、割り当て指標のモニタリングをご覧ください。