Como usar o Cloud Monitoring com o Cloud KMS

O Cloud Monitoring pode ser usado para monitorar operações executadas em recursos no Cloud Key Management Service.

Este tópico mostra:

  • um exemplo de monitoramento quando uma versão de chave é programada para destruição
  • informações sobre como monitorar outros recursos e operações do Cloud KMS

Antes de começar

Configure um projeto do Google Cloud com a API Cloud Key Management Service ativada, caso ainda não tenha feito isso. Você encontra essas etapas no Guia de início rápido do Cloud KMS.

Criar uma métrica de contador

Use o comando gcloud logging metrics create para criar uma métrica de contador que monitora qualquer ocorrência da destruição programada de uma versão de chave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

É possível usar o comando gcloud logging metrics list para listar as métricas de contador:

gcloud logging metrics list

Para mais informações sobre como criar uma métrica de contador, inclusive por meio do Console do Google Cloud e da API Monitoring, consulte Como criar uma métrica de contador.

Crie uma política de alertas

É possível criar políticas de alertas para monitorar os valores das métricas e ser notificado quando elas violarem uma condição.

Para criar uma política de alertas que monitore um ou mais recursos, siga estas etapas:

  1. No Console do Google Cloud, acesse a página Monitoring.

    Acessar Monitoring

  2. No painel de navegação do Monitoring, selecione Alertas e depois Criar política.
  3. Se o botão Retornar para a IU legada for exibido e você quiser seguir estas instruções, clique nele. Crie uma política de alertas usando a interface do Preview. No entanto, estas instruções são para a IU legada.
  4. Clique em Adicionar condição:
    1. As configurações no painel Destino especificam o recurso e a métrica a serem monitorados. No campo Encontrar tipo de recurso e métrica, selecione logging/user/key_version_destruction. Deixe o nome do recurso vazio.
    2. As configurações da política de alertas no painel Configuração determinam quando o alerta é acionado. Preencha este painel com as configurações na tabela a seguir.
      Campo do painel
      Condições

      Valor
      Condition triggers if Any time series violates
      Condition is above
      Threshold 0
      For most recent value
    3. Clique em Add.
  5. Para acessar a seção de notificações, clique em Próxima.
  6. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.

    Se um canal que você quer adicionar não estiver listado, clique em Gerenciar canais de notificação. Você será direcionado para a página Canais de notificação em uma nova guia do navegador. Nessa seção, é possível atualizar os canais de notificação configurados. Depois de concluir as atualizações, retorne à guia original, clique em Atualizar e selecione os canais de notificação que serão adicionados à política de alertas.

  7. Para avançar à seção de documentação, clique em Próxima.
  8. Clique em Nome e digite um nome para a política de alertas.
  9. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
  10. Clique em Salvar.
Saiba mais em Políticas de alertas.

Para testar a nova notificação, programe uma versão de chave para destruição e verifique seu e-mail para ver se a notificação foi enviada.

O alerta é acionado sempre que uma versão de chave é programada para destruição. Ele é resolvido automaticamente, mesmo que a versão de chave permaneça programada para destruição. Portanto, haverá duas notificações por e-mail: uma para a destruição programada e outra para a resolução do alerta.

Para saber mais sobre as políticas de alertas, consulte Introdução a alertas. Para saber como ativar, desativar, editar, copiar ou excluir uma política de alertas, consulte Como gerenciar políticas.

Para informações sobre diferentes tipos de notificação, consulte Opções de notificação.

Como monitorar atividades administrativas em comparação ao acesso a dados

A destruição programada de uma versão de chave é uma atividade do administrador. Essas atividades são registradas automaticamente. Se você quiser criar um alerta paraacesso a dados de um recurso do Cloud KMS, por exemplo, monitorar quando uma chave é usada para criptografia.ativar registros do acesso a dados e criar uma política de alertas conforme descrito neste tópico.

Para mais informações sobre a geração de registros de atividades administrativas e acesso a dados no Cloud KMS, consulte Como usar o Cloud Audit Logging com o Cloud KMS.

Métricas de cota de taxas

O Cloud KMS aceita as seguintes métricas de cota de taxas:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/peak_qps
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Para informações sobre como monitorar essas cotas usando o Cloud Monitoring, consulte Como monitorar métricas de cota.