Cloud Monitoring과 Cloud KMS 사용

Cloud Monitoring은 Cloud Key Management Service에서 리소스에 수행된 작업을 모니터링하는 데 사용될 수 있습니다.

이 주제에서는 다음을 설명합니다.

  • 키 버전이 폐기되도록 예약된 시점을 모니터링하는 예
  • 다른 Cloud KMS 리소스 및 작업을 모니터링하는 방법에 대한 정보

시작하기 전에

아래 단계를 수행하지 않았으면 지금 수행합니다.

  • Cloud Key Management Service API가 사용 설정된 Google Cloud 프로젝트를 설정합니다. 이 단계는 Cloud KMS 빠른 시작에 나와 있습니다.

  • 다음을 수행하여 프로젝트에 Cloud Monitoring 작업공간을 구성합니다.
    1. Cloud Console에서 Google Cloud 프로젝트를 선택합니다.
      Cloud Console로 이동
    2. 탐색창에서 Monitoring을 선택합니다.

      Cloud Monitoring을 사용한 적이 없는 경우 Google Cloud Console에서 Monitoring에 처음 액세스하면 작업공간이 자동으로 생성되고 프로젝트가 해당 작업공간과 연결됩니다. 또는 프로젝트가 작업공간과 연결되어 있지 않으면 대화상자가 표시되고 작업공간을 만들거나 프로젝트를 기존 작업공간에 추가할 수 있습니다. 작업공간을 만드는 것이 좋습니다. 선택을 완료한 후 추가를 클릭합니다.

카운터 측정항목 만들기

gcloud logging metrics create 명령어를 사용하여 키 버전의 예약 폐기 어커런스를 모니터링하는 카운터 측정항목을 만듭니다.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

gcloud logging metrics list 명령어를 사용하여 카운터 측정항목을 나열할 수 있습니다.

gcloud logging metrics list

Google Cloud Console 및 Monitoring API를 통한 카운터 측정항목 생성에 대한 자세한 내용은 카운터 측정항목 만들기를 참조하세요.

알림 정책 만들기

알림 정책을 만들어 측정항목 값을 모니터링하고 측정항목이 조건을 위반하면 이에 대한 알림을 수신할 수 있습니다.

하나 이상의 리소스를 모니터링하는 알림 정책을 만들려면 다음 안내를 따르세요.

  1. Google Cloud Console에서 Monitoring 페이지로 이동합니다.

    Monitoring으로 이동

    Cloud Monitoring을 사용한 적이 없는 경우 Google Cloud Console에서 Monitoring에 처음 액세스하면 작업공간이 자동으로 생성되고 프로젝트가 해당 작업공간과 연결됩니다. 또는 프로젝트가 작업공간과 연결되어 있지 않으면 대화상자가 표시되고 작업공간을 만들거나 프로젝트를 기존 작업공간에 추가할 수 있습니다. 작업공간을 만드는 것이 좋습니다. 선택을 완료한 후 추가를 클릭합니다.

  2. Monitoring 탐색창에서 알림을 선택한 다음 정책 만들기를 선택합니다.
  3. 조건 추가:를 클릭합니다.
    1. 대상 창의 설정은 모니터링할 리소스와 측정항목을 지정합니다. 리소스 유형 및 측정항목 찾기 필드에서 logging/user/key_version_destruction을 선택합니다. 리소스 이름은 비워 둡니다.
    2. 경고 정책의 구성 창에 있는 설정에 따라 알림이 실행되는 시점이 결정됩니다. 다음 표의 설정으로 이 창을 작성합니다.
      조건
      필드

      Condition triggers if Any time series violates
      Condition is above
      Threshold 0
      For most recent value
    3. 추가를 클릭합니다.
  4. 알림 섹션으로 이동하려면 다음을 클릭합니다.
  5. 선택사항: 알림 정책에 알림을 추가하려면 알림 채널을 클릭합니다. 대화상자의 메뉴에서 하나 이상의 알림 채널을 선택한 다음 확인을 클릭합니다.

    추가할 알림 채널이 나열되어 있지 않으면 알림 채널 관리를 클릭합니다. 새 브라우저 탭에서 알림 채널 페이지로 이동합니다. 이 페이지에서 구성된 알림 채널을 업데이트할 수 있습니다. 업데이트를 완료한 후에는 원래 탭으로 돌아가서 새로고침을 클릭한 다음 알림 채널을 선택하여 알림 정책에 추가합니다.

  6. 문서 섹션으로 이동하려면 다음을 클릭합니다.
  7. 이름을 클릭하고 알림 정책의 이름을 입력합니다.
  8. 선택사항: 문서를 클릭하고 알림 메시지에 포함할 정보를 추가합니다.
  9. 'Save(저장)'를 클릭합니다.
자세한 내용은 알림 정책을 참조하세요.

새 알림을 테스트하려면 폐기할 키 버전을 예약한 후 이메일을 확인하여 알림이 전송되는지를 확인합니다.

이 알림은 키 버전이 폐기되도록 예약될 때마다 트리거됩니다. 키 버전이 폐기 예약 상태로 남아 있더라도 알림이 자동으로 해결되므로 두 개의 이메일 알림이 전송됩니다. 하나는 폐기 예약에 대한 것이고, 다른 하나는 알림 해결에 대한 것입니다.

알림 정책에 대한 자세한 내용은 알림 소개를 참조하세요. 알림 정책을 설정, 해제, 수정, 복사 또는 삭제하는 방법은 정책 관리를 참조하세요.

다양한 유형의 알림에 대한 자세한 내용은 알림 옵션을 참조하세요.

관리 활동 및 데이터 액세스 모니터링

키 버전의 폐기 예약은 관리자 활동입니다. 관리자 활동은 자동으로 로깅됩니다. 키가 암호화에 사용되는 시점을 모니터링하는 경우와 같이 Cloud KMS 리소스의 데이터 액세스 알림을 만들려면 데이터 액세스 로그를 사용 설정한 후 이 주제의 설명대로 알림 정책을 만들어야 합니다.

Cloud KMS 관리 활동 및 데이터 액세스의 로깅에 대한 자세한 내용은 Cloud KMS에서 Cloud 감사 로그 사용을 참조하세요.

비율 할당량 측정항목

Cloud KMS는 다음과 같은 비율 할당량 측정항목을 지원합니다.

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/peak_qps
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Cloud Monitoring을 사용하여 할당량을 모니터링하는 방법은 할당량 측정항목 모니터링을 참조하세요.