Como usar o Cloud Monitoring com o Cloud KMS

O Cloud Monitoring pode ser usado para monitorar operações executadas em recursos no Cloud Key Management Service.

Este tópico mostra:

  • um exemplo de monitoramento quando uma versão de chave é programada para destruição
  • informações sobre como monitorar outros recursos e operações do Cloud KMS

Antes de começar

Configure um projeto do Google Cloud com a API Cloud Key Management Service ativada, caso ainda não tenha feito isso. Você encontra essas etapas no Guia de início rápido do Cloud KMS.

Criar uma métrica de contador

Use o comando gcloud logging metrics create para criar uma métrica de contador que monitora qualquer ocorrência da destruição programada de uma versão de chave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

É possível usar o comando gcloud logging metrics list para listar as métricas de contador:

gcloud logging metrics list

Para mais informações sobre como criar uma métrica de contador, inclusive por meio do Console do Google Cloud e da API Monitoring, consulte Como criar uma métrica de contador.

Crie uma política de alertas

É possível criar políticas de alertas para monitorar os valores das métricas e ser notificado quando elas violarem uma condição.

  1. No painel de navegação do console do Google Cloud, selecione Monitoramento e  Alertas:

    Acessar Alertas

  2. Se você não tiver criado seus canais de notificação e quiser receber uma notificação, clique em Editar canais de notificação e adicione-os. Volte para a página Alertas depois de adicionar seus canais.
  3. Na página Alertas, clique em Criar política.
  4. Para selecionar a métrica, expanda o menu Selecionar uma métrica e faça o seguinte:
    1. Para limitar o menu a entradas relevantes, insira key_version na barra de filtro. Se não houver resultados depois de filtrar o menu, desative a opção Mostrar somente recursos e métricas ativos.
    2. Em Tipo de recurso, selecione Global.
    3. Em Categoria da métrica, selecione Métrica com base em registros.
    4. Em Métrica, selecione logging/user/key_version_destruction.
    5. Selecione Apply.
  5. Clique em Próxima.
  6. As configurações da página Configurar acionador de alertas determinam quando o alerta é acionado. Preencha esta página com as configurações da tabela a seguir.
    Página Configurar o acionador de alerta
    Campo
    Valor
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. Clique em Próxima.
  8. Opcional: para adicionar notificações à sua política de alertas, clique em Canais de notificação. Na caixa de diálogo, selecione um ou mais canais de notificação no menu e clique em OK.
  9. Opcional: Atualize a Duração do fechamento automático do incidente. Este campo determina quando o Monitoring fecha incidentes na ausência de dados de métrica.
  10. Opcional: clique em Documentação e adicione as informações que quer incluir em uma mensagem de notificação.
  11. Clique em Nome e digite um nome para a política de alertas.
  12. Clique em Criar política.
Para mais informações, consulte Políticas de alertas.

Para testar a nova notificação, programe uma versão de chave para destruição e verifique seu e-mail para ver se a notificação foi enviada.

O alerta é acionado sempre que uma versão de chave é programada para destruição. Ele é resolvido automaticamente, mesmo que a versão de chave permaneça programada para destruição. Portanto, haverá duas notificações por e-mail: uma para a destruição programada e outra para a resolução do alerta.

Para saber mais sobre as políticas de alertas, consulte Introdução a alertas. Para saber como ativar, desativar, editar, copiar ou excluir uma política de alertas, consulte Como gerenciar políticas.

Para informações sobre diferentes tipos de notificação, consulte Opções de notificação.

Como monitorar atividades administrativas em comparação ao acesso a dados

A destruição programada de uma versão de chave é uma atividade do administrador. Essas atividades são registradas automaticamente. É necessário ativar os registros de acesso a dados e depois criar uma política de alertas, conforme descrito neste tópico, para gerar um alerta de acesso a dados de um recurso do Cloud KMS. Por exemplo, fazer o monitoramento quando uma chave for usada para criptografia.

Para mais informações sobre a geração de registros de atividades administrativas e acesso a dados no Cloud KMS, consulte Como usar o Cloud Audit Logging com o Cloud KMS.

Métricas de cota de taxas

O Cloud KMS aceita as seguintes métricas de cota de taxas:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Para informações sobre como monitorar essas cotas usando o Cloud Monitoring, consulte Como monitorar métricas de cota.

A seguir