Como usar o Stackdriver Monitoring com o Cloud KMS

Use o Stackdriver Monitoring para monitorar as operações realizadas nos recursos do Cloud Key Management Service.

Neste tópico, mostramos:

  • um exemplo de monitoramento quando uma versão de chave é programada para destruição
  • informações sobre como monitorar outros recursos e operações do Cloud KMS

Antes de começar

Siga estas instruções, se ainda não tiver concluído as seguintes etapas:

Criar uma métrica de contador

Use o comando gcloud logging metrics create para criar uma métrica de contador que monitora qualquer ocorrência de destruição programada de uma versão de chave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

É possível usar o comando gcloud logging metrics list para listar as métricas de contador:

gcloud logging metrics list

Para saber mais sobre como criar uma métrica de contador, incluindo o processo por meio do Console do Google Cloud Platform e da API Monitoring, consulte Como criar uma métrica de contador.

Criar uma política de alertas

Crie uma política de alertas para enviar um e-mail sempre que uma versão de chave for programada para destruição.

  1. No Console do GCP, acesse Stackdriver > Monitoring > Alerting > Create a Policy:

    Acessar "Criar uma política"

  2. Clique em Add Condition.

  3. Em Target:

    • Clique na caixa de edição em Find resource type and metric.
    • Na lista suspensa, selecione logging/user/key_version_destruction.

      Depois de selecionar a métrica na lista suspensa, o título da condição é preenchido automaticamente. É possível alterá-lo se quiser.

  4. Em Configuration:

    • Defina Condition triggers if como Any time series violates.
    • Defina Condition como is above.
    • Em Threshold, insira 0.
    • Em Para, selecione o valor mais recente.

      A página Add Metric Threshold Condition se parecerá com esta:

      Crie uma nova condição

  5. Clique em Save.

  6. Em Notifications (opcional):

    • Selecione Email.
    • Digite o endereço de e-mail para receber a notificação.
    • Clique em Add Notification Channel.
  7. Em Documentation (opcional):

    • Na caixa de edição em Edit, insira a mensagem que será usada na notificação. Por exemplo:

      A key version has been scheduled for destruction.
      
  8. Em Name this policy, forneça um nome como Key version scheduled for destruction.

    A página Create new alerting policy se parecerá com esta:

    Página "Criar nova política de alertas"

  9. Clique em Save.

Para testar a nova notificação, programe uma versão de chave para destruição e verifique seu e-mail para ver se a notificação foi enviada.

O alerta é acionado sempre que uma versão de chave é programada para destruição. Ele é resolvido automaticamente, mesmo que a versão de chave permaneça programada para destruição. Portanto, haverá duas notificações por e-mail: uma para a destruição programada e outra para a resolução do alerta.

Para saber mais sobre as políticas de alertas, consulte Introdução a alertas. Para saber como ativar, desativar, editar, copiar ou excluir uma política de alertas, consulte Como gerenciar políticas.

Para informações sobre diferentes tipos de notificação, consulte Opções de notificação.

Como monitorar atividades administrativas em comparação ao acesso a dados

A destruição programada de uma versão de chave é uma atividade do administrador. Essas atividades são registradas automaticamente. É necessário ativar os registros de acesso a dados e depois criar uma política de alertas, conforme descrito neste tópico, para produzir um alerta de acesso a dados de um recurso do Cloud KMS. Por exemplo, monitorar quando uma chave é usada para criptografia.

Para mais informações sobre a geração de registros de atividades administrativas e de acesso a dados do Cloud KMS, consulte Como usar o Cloud Audit Logging com o Cloud KMS.

Métricas de cota de taxas

O Cloud KMS é compatível com as seguintes métricas de cota de taxas:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Para informações sobre como monitorar essas cotas usando o Stackdriver Monitoring, consulte Como monitorar métricas de cota.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Cloud KMS