Surveiller l'utilisation de l'EKM

Vous pouvez utiliser Cloud Monitoring pour surveiller la connexion de votre gestionnaire de clés externes (EKM). Les métriques suivantes peuvent vous aider à comprendre votre utilisation de l'EKM:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

Cette page explique comment créer un tableau de bord pour suivre les métriques liées à vos clés Cloud EKM et à la connexion du gestionnaire de clés externe, telles que le nombre de requêtes et les latences. Pour en savoir plus sur ces métriques, consultez la section Métriques cloudkms. Pour en savoir plus sur le processus de création de tableau de bord décrit dans les sections suivantes, consultez la page Gérer les tableaux de bord à l'aide d'API.

Avant de commencer

Les étapes décrites sur cette page supposent que vous avez effectué les opérations suivantes:

• Vous avez déjà configuré Cloud EKM dans un projet, y compris une connexion EKM et une ou plusieurs clés externes.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer des tableaux de bord à l'aide de gcloud CLI, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet:

• Éditeur de configuration du tableau de bord Monitoring (roles/monitoring.dashboardEditor)
• Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer)

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour créer des tableaux de bord à l'aide de gcloud CLI. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour créer des tableaux de bord à l'aide de la gcloud CLI:

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un tableau de bord pour surveiller votre EKM

Pour surveiller l'état de votre EKM, créez un tableau de bord qui surveille le nombre de requêtes et les latences:

1. Téléchargez la configuration du tableau de bord : ekm-dashboard.json.

2. Créez un tableau de bord personnalisé avec le fichier de configuration en exécutant la commande suivante :

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

Afficher le tableau de bord de votre EKM

1. Dans la console Google Cloud, accédez à la page Surveillance ou cliquez sur le bouton suivant:

   Accéder à Monitoring

2. Sélectionnez Ressources>Tableaux de bord, puis affichez le tableau de bord intitulé Cloud KMS EKM.

Créer une règle d'alerte pour les métriques EKM

Effectuez les étapes suivantes à l'aide de la gcloud CLI:

1. Sélectionnez un canal de notification pour recevoir des alertes sur les métriques EKM.

   • Pour utiliser un canal de notification existant, commencez par afficher vos canaux:

     gcloud beta monitoring channels list
     

     Choisissez une chaîne dans la liste. Notez l'ID du canal de notification. Vous en aurez besoin plus tard.

   • Pour utiliser un nouveau canal de notification, créez-le à l'aide d'une adresse e-mail:

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     Si l'opération réussit, la commande renvoie le nom du nouveau canal. Notez l'ID du canal de notification. Vous en aurez besoin plus tard. Le résultat ressemble à ce qui suit :

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Créez une règle d'alerte à l'aide de la commande monitoring policies create:

       gcloud alpha monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Remplacez les éléments suivants :

   • NOTIFICATION_CHANNEL_ID: ID du canal de notification.
   • LOCATION: région pour laquelle vous souhaitez envoyer une alerte pour cette métrique. Si vous souhaitez envoyer une alerte quelle que soit la région, omettez metric.labels.ekm_service_region.
   • LABEL_METHOD: libellé method pour lequel vous souhaitez envoyer une alerte (par exemple, wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo ou getPublicKey). Vous pouvez utiliser l'explorateur de métriques pour explorer les libellés de métrique.

Étape suivante

• Explorez vos données à travers différentes dimensions de métriques à l'aide de l'explorateur de métriques.
• Facultatif: Créez des règles d'alerte.