Cloud Monitoring과 Cloud KMS 사용

Cloud Monitoring은 Cloud Key Management Service에서 리소스에 수행된 작업을 모니터링하는 데 사용될 수 있습니다.

이 주제에서는 다음을 설명합니다.

키 버전이 폐기되도록 예약된 시점을 모니터링하는 예
다른 Cloud KMS 리소스 및 작업을 모니터링하는 방법에 대한 정보

시작하기 전에

아직 Cloud Key Management Service API가 사용 설정된 Google Cloud 프로젝트를 설정하지 않았다면 설정합니다. 이 단계는 Cloud KMS 빠른 시작에 나와 있습니다.

카운터 측정항목 만들기

gcloud logging metrics create 명령어를 사용하여 키 버전의 예약 폐기 어커런스를 모니터링하는 카운터 측정항목을 만듭니다.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

gcloud logging metrics list 명령어를 사용하여 카운터 측정항목을 나열할 수 있습니다.

gcloud logging metrics list

Google Cloud Console 및 Monitoring API를 통한 카운터 측정항목 생성에 대한 자세한 내용은 카운터 측정항목 만들기를 참조하세요.

알림 정책 만들기

알림 정책을 만들어 측정항목 값을 모니터링하고 측정항목이 조건을 위반하면 이에 대한 알림을 수신할 수 있습니다.

Google Cloud 콘솔의 탐색 패널에서 Monitoring을 선택한 후 알림을 선택합니다.
알림으로 이동
알림 채널을 만들지 않고 알림을 받으려면 알림 채널 수정을 클릭하고 알림 채널을 추가합니다. 채널을 추가한 후 알림 페이지로 돌아갑니다.
알림 페이지에서 정책 만들기를 클릭합니다.
측정항목을 선택하려면 측정항목 선택 메뉴를 확장한 후 다음을 수행합니다.
1. 메뉴를 관련 항목으로 제한하려면 필터 표시줄에 key_version을 입력합니다. 메뉴를 필터링한 후 결과가 없으면 활성 리소스 및 측정항목만 표시 전환을 중지합니다.
2. 리소스 유형에서 전역을 선택합니다.
3. 측정항목 카테고리에서 로그 기반 측정항목을 선택합니다.
4. 측정항목에서 logging/user/key_version_destruction을 선택합니다.
5. Apply(적용)를 선택합니다.
다음을 클릭합니다.
알림 트리거 구성 페이지의 설정에 따라 알림이 트리거되는 시점이 결정됩니다. 다음 표의 설정으로 이 페이지를 작성합니다.

알림 트리거 구성 페이지
필드
값

Alert trigger Any time series violates

Threshold position Above threshold

Threshold value 0

Advanced Options: Retest window No retest
다음을 클릭합니다.
선택사항: 알림 정책에 알림을 추가하려면 알림 채널을 클릭합니다. 대화상자의 메뉴에서 하나 이상의 알림 채널을 선택한 다음 확인을 클릭합니다.
선택사항: 이슈 자동 종료 기간을 업데이트합니다. 이 필드는 측정항목 데이터가 없어 Monitoring에서 이슈를 닫을 시간을 결정합니다.
선택사항: 문서를 클릭한 후 알림 메시지에 포함할 정보를 추가합니다.
알림 이름을 클릭하고 알림 정책 이름을 입력합니다.
정책 만들기를 클릭합니다.

알림 트리거 구성 페이지 필드	값
`Alert trigger`	`Any time series violates`
`Threshold position`	`Above threshold`
`Threshold value`	`0`
`Advanced Options: Retest window`	`No retest`

자세한 내용은 알림 정책을 참조하세요.

새 알림을 테스트하려면 폐기할 키 버전을 예약한 후 이메일을 확인하여 알림이 전송되는지를 확인합니다.

이 알림은 키 버전이 폐기되도록 예약될 때마다 트리거됩니다. 키 버전이 폐기 예약 상태로 남아 있더라도 알림이 자동으로 해결되므로 두 개의 이메일 알림이 전송됩니다. 하나는 폐기 예약에 대한 것이고, 다른 하나는 알림 해결에 대한 것입니다.

알림 정책에 대한 자세한 내용은 알림 소개를 참조하세요. 알림 정책을 설정, 해제, 수정, 복사 또는 삭제하는 방법은 정책 관리를 참조하세요.

다양한 유형의 알림에 대한 자세한 내용은 알림 옵션을 참조하세요.

관리 활동 및 데이터 액세스 모니터링

키 버전의 폐기 예약은 관리자 활동입니다. 관리자 활동은 자동으로 로깅됩니다. 키가 암호화에 사용되는 시점을 모니터링하는 경우와 같이 Cloud KMS 리소스의 데이터 액세스 알림을 만들려면 데이터 액세스 로그를 사용 설정한 후 이 주제의 설명대로 알림 정책을 만들어야 합니다.

Cloud KMS 관리 활동 및 데이터 액세스의 로깅에 대한 자세한 내용은 Cloud KMS에서 Cloud 감사 로그 사용을 참조하세요.

비율 할당량 측정항목

Cloud KMS는 다음과 같은 비율 할당량 측정항목을 지원합니다.

cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests

Cloud Monitoring을 사용하여 할당량을 모니터링하는 방법은 할당량 측정항목 모니터링을 참조하세요.

다음 단계

외부 키 관리자 사용 모니터링