Esta página foi traduzida pela API Cloud Translation.
Switch to English

Como usar o Cloud Monitoring com o Cloud KMS

O Cloud Monitoring pode ser usado para monitorar operações executadas em recursos no Cloud Key Management Service.

Este tópico mostra:

  • um exemplo de monitoramento quando uma versão de chave é programada para destruição
  • informações sobre como monitorar outros recursos e operações do Cloud KMS

Antes de começar

Siga estas instruções, se ainda não tiver concluído as seguintes etapas:

  • Configure um projeto do Google Cloud com a API Cloud Key Management Service ativada. Você encontra essas etapas no Guia de início rápido do Cloud KMS.

  • Se quiser configurar um espaço de trabalho do Cloud Monitoring para seu, siga estas etapas:
    1. No Console do Cloud, selecione seu projeto do Google Cloud.
      Acessar o Console do Cloud
    2. No painel de navegação, selecione Monitoring.

      Se você nunca usou o Cloud Monitoring, no primeiro acesso ao Monitoring no Console do Google Cloud, um espaço de trabalho será criado automaticamente e seu projeto será associado a ele. Caso contrário, se o seu projeto não estiver associado a um espaço de trabalho, uma caixa de diálogo será exibida, e será possível criar um espaço de trabalho ou adicionar seu projeto a um espaço de trabalho atual. Recomendamos que você crie um espaço de trabalho. Depois de fazer a seleção, clique em Adicionar.

Criar uma métrica de contador

Use o comando gcloud logging metrics create para criar uma métrica de contador que monitora qualquer ocorrência da destruição programada de uma versão de chave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

É possível usar o comando gcloud logging metrics list para listar as métricas de contador:

gcloud logging metrics list

Para mais informações sobre como criar uma métrica de contador, inclusive por meio do Console do Google Cloud e da API Monitoring, consulte Como criar uma métrica de contador.

Crie uma política de alertas

É possível criar políticas de alertas para monitorar os valores das métricas e ser notificado quando elas violarem uma condição.

Para criar uma política de alertas que monitore um ou mais recursos, siga estas etapas:

  1. No Console do Google Cloud, acesse a página Monitoring.

    Acessar Monitoring

    Se você nunca tiver usado o Cloud Monitoring, no primeiro acesso ao Monitoring no Console do Google Cloud, um espaço de trabalho será criado automaticamente, e seu projeto será associado a ele. Caso contrário, se o seu projeto não estiver associado a um espaço de trabalho, uma caixa de diálogo será exibida, e será possível criar um espaço de trabalho ou adicionar seu projeto a um espaço de trabalho atual. Recomendamos que você crie um espaço de trabalho. Depois de fazer a seleção, clique em Adicionar.

  2. No painel de navegação do Monitoring, selecione Alertas e depois Criar política.
  3. Clique em Adicionar condição:
    1. As configurações no painel Destino especificam o recurso e a métrica a serem monitorados. No campo Encontrar tipo de recurso e métrica, selecione logging/user/key_version_destruction. Deixe o nome do recurso vazio.
    2. As configurações da política de alertas no painel Configuração determinam quando o alerta é acionado. Preencha este painel com as configurações na tabela a seguir.
      Campo do painel
      Condições

      Valor
      Condition triggers if Any time series violates
      Condition is above
      Threshold 0
      For most recent value
    3. Clique em Add.
  4. Para acessar a seção de notificações, clique em Próxima.
  5. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

    Se um canal que você quer adicionar não estiver listado, clique em Gerenciar canais de notificação. Você será direcionado para a página Canais de notificação em uma nova guia do navegador. Nessa seção, é possível atualizar os canais de notificação configurados. Depois de concluir as atualizações, retorne à guia original, clique em Atualizar e selecione os canais de notificação que serão adicionados à política de alertas.

  6. Para avançar à seção de documentação, clique em Próxima.
  7. Clique em Nome e digite um nome para a política de alertas.
  8. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
  9. Clique em Salvar.
Saiba mais em Políticas de alertas.

Para testar a nova notificação, programe uma versão de chave para destruição e verifique seu e-mail para ver se a notificação foi enviada.

O alerta é acionado sempre que uma versão de chave é programada para destruição. Ele é resolvido automaticamente, mesmo que a versão de chave permaneça programada para destruição. Portanto, haverá duas notificações por e-mail: uma para a destruição programada e outra para a resolução do alerta.

Para saber mais sobre as políticas de alertas, consulte Introdução a alertas. Para saber como ativar, desativar, editar, copiar ou excluir uma política de alertas, consulte Como gerenciar políticas.

Para informações sobre diferentes tipos de notificação, consulte Opções de notificação.

Como monitorar atividades administrativas em comparação ao acesso a dados

A destruição programada de uma versão de chave é uma atividade do administrador. Essas atividades são registradas automaticamente. É necessário ativar os registros de acesso a dados e depois criar uma política de alertas, conforme descrito neste tópico, para gerar um alerta de acesso a dados de um recurso do Cloud KMS. Por exemplo, fazer o monitoramento quando uma chave for usada para criptografia.

Para mais informações sobre a geração de registros de atividades administrativas e acesso a dados no Cloud KMS, consulte Como usar o Cloud Audit Logging com o Cloud KMS.

Métricas de cota de taxas

O Cloud KMS aceita as seguintes métricas de cota de taxas:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/peak_qps
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Para informações sobre como monitorar essas cotas usando o Cloud Monitoring, consulte Como monitorar métricas de cota.