将 Cloud Monitoring 与 Cloud KMS 搭配使用

Cloud Monitoring 可用于监控对 Cloud Key Management Service 中的资源执行的操作。

本主题提供以下各项:

  • 监视密钥版本何时计划销毁的示例
  • 有关监控其他 Cloud KMS 资源和操作的信息

准备工作

如果您尚未对项目进行设置,请按以下步骤进行操作:

  • 设置已启用 Cloud Key Management Service API 的 Google Cloud 项目。 Cloud KMS 快速入门中介绍了这些步骤。

  • 通过执行以下操作,为您的项目配置 Cloud Monitoring 工作区:
    1. 在 Cloud Console 中,选择您的 Google Cloud 项目。
      转到 Cloud Console
    2. 在导航窗格中,选择 Monitoring

      如果您从未使用过 Cloud Monitoring,那么您在 Google Cloud Console 中首次访问 Monitoring 时,系统会自动创建一个工作区,并将您的项目与该工作区相关联。否则,如果您的项目未与工作区关联,则系统会显示一个对话框,您可以创建一个工作区,也可以将您的项目添加到现有工作区。我们建议您创建一个工作区。完成选择后,请点击添加

创建计数器指标

使用 gcloud logging metrics create 命令创建计数器指标,该计数器指标将监控密钥版本的已安排的任何销毁。

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

您可以使用 gcloud logging metrics list 命令列出计数器指标:

gcloud logging metrics list

如需详细了解如何创建计数器指标(包括通过 Google Cloud Console 和 Monitoring API 创建),请参阅创建计数器指标

创建提醒政策

您可创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。

如需创建用于监控一个或多个资源的提醒政策,请按以下步骤操作:

  1. 在 Google Cloud Console 中,转到 Monitoring 页面。

    转至 Resources

    如果您从未使用过 Cloud Monitoring,那么您在 Google Cloud Console 中首次访问 Monitoring 时,系统会自动创建一个工作区,并将您的项目与该工作区相关联。否则,如果您的项目未与工作区关联,则系统会显示一个对话框,您可以创建一个工作区,也可以将您的项目添加到现有工作区。我们建议您创建一个工作区。完成选择后,请点击添加

  2. 在 Monitoring 导航窗格中,选择 提醒,然后选择创建政策
  3. 点击添加条件
    1. 目标窗格中的设置指定了要监控的资源和指标。在查找资源类型和指标字段中,选择 logging/user/key_version_destruction。将资源名称留空。
    2. 提醒政策的配置窗格中的设置决定了何时会触发提醒。使用下表中的设置填写此窗格。
      Conditions 窗格
      字段

      Condition triggers if Any time series violates
      Condition is above
      Threshold 0
      For most recent value
    3. 点击添加
  4. 如需前进到通知部分,请点击下一步
  5. 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定

    如果您要添加的通知渠道未列出,请点击管理通知渠道。系统会将您带到新浏览器标签页中的通知渠道页面。在此页面上,您可以更新已配置的通知渠道。完成更新后,返回原始标签页,点击 刷新,然后选择要添加到提醒政策中的通知渠道。

  6. 如需前进到文档部分,请点击下一步
  7. 点击名称,然后输入提醒政策的名称。
  8. 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
  9. 点击保存
如需了解详情,请参阅提醒政策

要测试新通知,请安排密钥版本进行销毁,然后检查您的电子邮件以查看通知是否已发送。

每次安排密钥版本销毁时都会触发此提醒。请注意,提醒将自动被解决(即使密钥版本仍然处于计划销毁状态),因此将有两个电子邮件通知,一个有关计划的销毁,另一个关于已解决的提醒。

如需了解有关提醒政策的更多信息,请参阅提醒简介。如需了解如何打开、关闭、修改、复制或删除提醒政策,请参阅管理政策

如需了解不同类型通知的相关信息,请参阅通知选项

监控管理活动与数据访问

计划销毁密钥版本是一项管理员活动。 系统会自动记录管理员活动。如果要为对 Cloud KMS 资源的数据访问创建提醒(例如监控密钥何时用于加密时),您需要启用数据访问日志,然后参照主题相关内容创建提醒政策。

如需详细了解如何记录 Cloud KMS 管理活动和数据访问,请参阅将 Cloud Audit Logs 与 Cloud KMS 配合使用

费率配额指标

Cloud KMS 支持以下费率配额指标:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/peak_qps
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

如需了解如何使用 Cloud Monitoring 监控这些配额,请参阅监控配额指标