Memantau penggunaan EKM

Anda dapat menggunakan Cloud Monitoring untuk memantau koneksi pengelola kunci eksternal (EKM). Metrik berikut dapat membantu Anda memahami penggunaan EKM:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

Halaman ini menunjukkan cara membuat dasbor untuk melacak metrik yang terkait dengan kunci Cloud EKM dan koneksi pengelola kunci eksternal Anda, seperti jumlah permintaan dan latensi. Untuk mengetahui informasi selengkapnya tentang metrik ini, lihat metrik cloudkms. Untuk mengetahui informasi selengkapnya tentang proses pembuatan dasbor yang dijelaskan di bagian berikut, lihat Mengelola dasbor dengan API.

Sebelum memulai

Langkah-langkah di halaman ini mengasumsikan hal berikut:

• Anda telah menyiapkan Cloud EKM di project, termasuk koneksi EKM dan satu atau beberapa kunci eksternal.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna membuat dasbor menggunakan gcloud CLI, minta administrator untuk memberi Anda peran IAM berikut di project Anda:

• Monitoring Dashboard Configuration Editor (roles/monitoring.dashboardEditor)
• Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dasbor menggunakan gcloud CLI. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dasbor menggunakan gcloud CLI:

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Membuat dasbor untuk memantau EKM Anda

Untuk memantau status EKM Anda, buat dasbor yang memantau jumlah permintaan dan latensi Anda:

1. Download konfigurasi dasbor: ekm-dashboard.json.

2. Buat dasbor kustom dengan file konfigurasi dengan menjalankan perintah berikut:

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

Melihat dasbor EKM Anda

1. Di konsol Google Cloud , buka halaman Monitoring, atau gunakan tombol berikut:

   Buka Monitoring

2. Pilih Resources > Dashboards dan lihat dasbor bernama Cloud KMS EKM.

Membuat kebijakan pemberitahuan untuk metrik EKM

Selesaikan langkah-langkah berikut menggunakan gcloud CLI:

1. Pilih saluran notifikasi untuk menerima pemberitahuan metrik EKM.

   • Untuk menggunakan saluran notifikasi yang ada, lihat saluran Anda terlebih dahulu:

     gcloud beta monitoring channels list
     

     Pilih channel dari daftar. Catat ID saluran notifikasi; Anda akan memerlukannya nanti.

   • Untuk menggunakan saluran notifikasi baru, buat saluran menggunakan alamat email:

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     Jika berhasil, perintah ini akan menampilkan nama channel baru. Catat ID saluran notifikasi; Anda akan memerlukannya nanti. Outputnya mirip dengan yang berikut ini:

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Buat kebijakan pemberitahuan menggunakan perintah monitoring policies create:

       gcloud alpha monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Ganti kode berikut:

   • NOTIFICATION_CHANNEL_ID: ID saluran notifikasi.
   • LOCATION: region yang metriknya ingin Anda pantau untuk memicu pemberitahuan. Jika Anda ingin memberikan peringatan terlepas dari wilayah, hapus metric.labels.ekm_service_region.
   • LABEL_METHOD: label method yang ingin Anda gunakan untuk pemberitahuan—misalnya, wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo, atau getPublicKey. Anda dapat menggunakan Metrics Explorer untuk menjelajahi label metrik.

Langkah berikutnya

• Jelajahi data Anda di berbagai dimensi metrik menggunakan Metrics Explorer.
• Opsional: Buat kebijakan pemberitahuan.