Supervisa el uso del EKM

Puedes usar Cloud Monitoring para supervisar tu conexión del administrador de claves externas (EKM). Las siguientes métricas pueden ayudarte a comprender el uso de tu EKM:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

En esta página, se muestra cómo crear un panel para hacer un seguimiento de las métricas relacionadas con tus claves de Cloud EKM y la conexión del administrador de claves externo, como los recuentos de solicitudes y las latencias. Para obtener más información sobre estas métricas, consulta Métricas de Cloud KMS. Para obtener más información sobre el proceso de creación de paneles que se describe en las siguientes secciones, consulta Administra paneles con la API.

Antes de comenzar

En los pasos de esta página, se supone lo siguiente:

• Ya configuraste Cloud EKM en un proyecto, incluida una conexión de EKM y una o más claves externas.

Roles obligatorios

Para obtener los permisos que necesitas para crear paneles con gcloud CLI, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

• Editor de configuración del panel de Monitoring (roles/monitoring.dashboardEditor)
• Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para crear paneles con gcloud CLI. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para crear paneles con gcloud CLI:

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Crea un panel para supervisar tu EKM

Para supervisar el estado de tu EKM, crea un panel que supervise el recuento de solicitudes y las latencias:

1. Descarga la configuración del panel: ekm-dashboard.json.

2. Ejecuta el siguiente comando para crear un panel personalizado con el archivo de configuración:

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

Cómo ver tu panel de EKM

1. En la consola de Google Cloud , ve a la página Monitoring o usa el siguiente botón:

   Ir a Monitoring

2. Selecciona Recursos > Paneles y consulta el panel llamado EKM de Cloud KMS.

Crea una política de alertas para las métricas del EKM

Completa los siguientes pasos con gcloud CLI:

1. Selecciona un canal de notificaciones para recibir alertas sobre las métricas del EKM.

   • Para usar un canal de notificaciones existente, primero consulta tus canales:

     gcloud beta monitoring channels list
     

     Elige un canal de la lista. Anota el ID del canal de notificación, ya que lo necesitarás más adelante.

   • Para usar un canal de notificaciones nuevo, crea el canal con una dirección de correo electrónico:

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     Si funciona, este comando muestra el nombre del canal nuevo. Toma nota del ID del canal de notificación, ya que lo necesitarás más adelante. La salida es similar a lo siguiente:

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Crea una política de alertas con el comando monitoring policies create:

       gcloud alpha monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Reemplaza lo siguiente:

   • NOTIFICATION_CHANNEL_ID: Es el ID del canal de notificación.
   • LOCATION: Es la región para la que deseas generar alertas sobre esta métrica. Si quieres enviar alertas independientemente de la región, omite metric.labels.ekm_service_region.
   • LABEL_METHOD: Es la etiqueta de method sobre la que deseas generar una alerta, por ejemplo, wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo o getPublicKey. Puedes usar el Explorador de métricas para explorar las etiquetas de métricas.

¿Qué sigue?

• Explora tus datos en varias dimensiones de métricas con el Explorador de métricas.
• Opcional: Crea políticas de alertas.