Como usar o Stackdriver Monitoring com o Cloud KMS

Use o Stackdriver Monitoring para monitorar as operações realizadas nos recursos do Cloud Key Management Service.

Neste tópico, apresentamos:

  • um exemplo de monitoramento quando uma versão de chave está programada para destruição;
  • informações sobre como monitorar outros recursos e operações do Cloud KMS.

Antes de começar

Faça os procedimentos a seguir, caso ainda não tenha feito:

Criar uma métrica de contador

Use o comando gcloud logging metrics create para criar uma métrica de contador que monitora qualquer ocorrência da destruição programada de uma versão de chave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

É possível usar o comando gcloud logging metrics list para listar as métricas de contador:

gcloud logging metrics list

Para mais informações sobre como criar uma métrica de contador, incluindo o processo por meio do Console do Google Cloud Platform e da API Monitoring, consulte Como criar uma métrica de contador.

Criar uma política de alertas

Crie uma política de alertas para enviar um e-mail sempre que uma versão de chave for programada para destruição.

  1. No Console do GCP, acesse Stackdriver > Monitoring > Alerting > Create a Policy:

    Acessar a opção "Create a Policy" (em inglês)

  2. Clique em Add Condition.

  3. Em Target:

    • Clique na caixa de edição em Find resource type and metric.
    • Na lista suspensa, selecione logging/user/key_version_destruction.

      Depois de selecionar a métrica na lista suspensa, o título da condição é preenchido automaticamente. Se quiser, altere o título.

  4. Em Configuration:

    • Defina Condition triggers if como Any time series violates.
    • Defina Condition como is above.
    • Em Threshold, digite 0.
    • Em Para, selecione o valor mais recente.

      A página Add Metric Threshold Condition deve ter a seguinte aparência:

      Criar nova condição

  5. Clique em Save.

  6. Em Notifications (optional):

    • Selecione Email.
    • Digite o endereço de e-mail para receber a notificação.
    • Clique em Add Notification Channel.
  7. Em Documentation (optional):

    • Na caixa de edição em Edit, insira a mensagem que será usada na notificação. Por exemplo:

      A key version has been scheduled for destruction.
      
  8. Em Name this policy, insira um nome. Por exemplo, Key version scheduled for destruction.

    A página Create new alerting policy deve ter a seguinte aparência:

    Página

  9. Clique em Save.

Para testar a nova notificação, programe uma versão de chave para destruição e verifique seu e-mail para confirmar se a notificação foi enviada.

O alerta é acionado sempre que uma versão de chave é programada para destruição. Ele é resolvido automaticamente, mesmo que a versão da chave permaneça programada para destruição. Portanto, haverá duas notificações por e-mail: uma para a destruição programada e outra para a resolução do alerta.

Para mais informações sobre as políticas de alertas, consulte Introdução a alertas. Para saber como ativar, desativar, editar, copiar ou excluir uma política de alertas, consulte Como gerenciar políticas.

Para informações sobre diferentes tipos de notificação, consulte Opções de notificação.

Como monitorar atividades administrativas em comparação com o acesso a dados

A destruição programada de uma versão de chave é uma atividade do administrador. Essas atividades são registradas automaticamente. É necessário ativar os registros de acesso a dados e depois criar uma política de alertas, conforme descrito neste tópico, para gerar um alerta de acesso a dados de um recurso do Cloud KMS. Por exemplo, fazer o monitoramento quando uma chave for usada para criptografia.

Para mais informações sobre a geração de registros de atividades administrativas e acesso a dados no Cloud KMS, consulte Como usar o registro de auditoria do Cloud com o Cloud KMS.

Métricas de cota de taxas

O Cloud KMS aceita as seguintes métricas de cota de taxas:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Para informações sobre como monitorar essas cotas usando o Stackdriver Monitoring, consulte Como monitorar métricas de cota.