Cloud Monitoring과 Cloud KMS 사용

Cloud Monitoring은 Cloud Key Management Service에서 리소스에 수행된 작업을 모니터링하는 데 사용될 수 있습니다.

이 주제에서는 다음을 설명합니다.

  • 키 버전이 폐기되도록 예약된 시점을 모니터링하는 예
  • 다른 Cloud KMS 리소스 및 작업을 모니터링하는 방법에 대한 정보

시작하기 전에

아직 Cloud Key Management Service API가 사용 설정된 Google Cloud 프로젝트를 설정하지 않았다면 설정합니다. 이 단계는 Cloud KMS 빠른 시작에 나와 있습니다.

카운터 측정항목 만들기

gcloud logging metrics create 명령어를 사용하여 키 버전의 예약 폐기 어커런스를 모니터링하는 카운터 측정항목을 만듭니다.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

gcloud logging metrics list 명령어를 사용하여 카운터 측정항목을 나열할 수 있습니다.

gcloud logging metrics list

Google Cloud Console 및 Monitoring API를 통한 카운터 측정항목 생성에 대한 자세한 내용은 카운터 측정항목 만들기를 참조하세요.

알림 정책 만들기

알림 정책을 만들어 측정항목 값을 모니터링하고 측정항목이 조건을 위반하면 이에 대한 알림을 수신할 수 있습니다.

하나 이상의 리소스를 모니터링하는 알림 정책을 만들려면 다음 안내를 따르세요.

  1. Google Cloud Console에서 Monitoring 페이지로 이동합니다.

    Monitoring으로 이동

  2. Monitoring 탐색창에서 알림을 선택한 다음 정책 만들기를 선택합니다.
  3. 기존 UI로 돌아가기 버튼이 표시되고 다음 안내를 따르려면 버튼을 클릭합니다. 미리보기 인터페이스를 사용하여 알림 정책을 만들 수 있지만, 이 안내는 기존 UI에 적용됩니다.
  4. 조건 추가를 클릭합니다.
    1. 대상 창의 설정은 모니터링할 리소스와 측정항목을 지정합니다. 리소스 유형 및 측정항목 찾기 필드에서 logging/user/key_version_destruction을 선택합니다. 리소스 이름은 비워 둡니다.
    2. 경고 정책의 구성 창에 있는 설정에 따라 알림이 실행되는 시점이 결정됩니다. 다음 표의 설정으로 이 창을 작성합니다.
      조건
      필드

      Condition triggers if Any time series violates
      Condition is above
      Threshold 0
      For most recent value
    3. 추가를 클릭합니다.
  5. 알림 섹션으로 이동하려면 다음을 클릭합니다.
  6. 선택사항: 알림 정책에 알림을 추가하려면 알림 채널을 클릭합니다. 대화상자의 메뉴에서 하나 이상의 알림 채널을 선택한 다음 확인을 클릭합니다.

    추가할 알림 채널이 나열되어 있지 않으면 알림 채널 관리를 클릭합니다. 새 브라우저 탭에서 알림 채널 페이지로 이동합니다. 이 페이지에서 구성된 알림 채널을 업데이트할 수 있습니다. 업데이트를 완료한 후에는 원래 탭으로 돌아가서 새로고침을 클릭한 다음 알림 채널을 선택하여 알림 정책에 추가합니다.

  7. 문서 섹션으로 이동하려면 다음을 클릭합니다.
  8. 이름을 클릭하고 알림 정책의 이름을 입력합니다.
  9. 선택사항: 문서를 클릭하고 알림 메시지에 포함할 정보를 추가합니다.
  10. 저장을 클릭합니다.
자세한 내용은 알림 정책을 참조하세요.

새 알림을 테스트하려면 폐기할 키 버전을 예약한 후 이메일을 확인하여 알림이 전송되는지를 확인합니다.

이 알림은 키 버전이 폐기되도록 예약될 때마다 트리거됩니다. 키 버전이 폐기 예약 상태로 남아 있더라도 알림이 자동으로 해결되므로 두 개의 이메일 알림이 전송됩니다. 하나는 폐기 예약에 대한 것이고, 다른 하나는 알림 해결에 대한 것입니다.

알림 정책에 대한 자세한 내용은 알림 소개를 참조하세요. 알림 정책을 설정, 해제, 수정, 복사 또는 삭제하는 방법은 정책 관리를 참조하세요.

다양한 유형의 알림에 대한 자세한 내용은 알림 옵션을 참조하세요.

관리 활동 및 데이터 액세스 모니터링

키 버전의 폐기 예약은 관리자 활동입니다. 관리자 활동은 자동으로 로깅됩니다. 키가 암호화에 사용되는 시점을 모니터링하는 경우와 같이 Cloud KMS 리소스의 데이터 액세스 알림을 만들려면 데이터 액세스 로그를 사용 설정한 후 이 주제의 설명대로 알림 정책을 만들어야 합니다.

Cloud KMS 관리 활동 및 데이터 액세스의 로깅에 대한 자세한 내용은 Cloud KMS에서 Cloud 감사 로그 사용을 참조하세요.

비율 할당량 측정항목

Cloud KMS는 다음과 같은 비율 할당량 측정항목을 지원합니다.

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Cloud Monitoring을 사용하여 할당량을 모니터링하는 방법은 할당량 측정항목 모니터링을 참조하세요.