Usar Cloud Monitoring con Cloud KMS

Cloud Monitoring se puede usar para monitorizar las operaciones realizadas en recursos de Cloud Key Management Service.

En este tema se explica lo siguiente:

  • Un ejemplo de monitorización cuando se programa la eliminación de una versión de clave
  • Información sobre la monitorización de otros recursos y operaciones de Cloud KMS

Antes de empezar

Si aún no lo has hecho, configura un Google Cloud proyecto que tenga habilitada la API Cloud Key Management Service. Estos pasos se describen en la guía de inicio rápido de Cloud KMS.

Crear una métrica de contador

Usa el comando gcloud logging metrics create para crear una métrica de contador que monitorice cualquier ocurrencia de la destrucción programada de una versión de clave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Puedes consultar tus métricas de contador con el comando gcloud logging metrics list:

gcloud logging metrics list

Para obtener más información sobre cómo crear una métrica de contador, incluso a través de la consolaGoogle Cloud y la API Monitoring, consulta Crear una métrica de contador.

Crear una política de alertas

Puedes crear políticas de alertas para monitorizar los valores de las métricas y recibir notificaciones cuando esas métricas incumplan una condición.

  1. En la Google Cloud consola, ve a la página  Alertas:

    Ve a Alertas.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

  2. Si no has creado tus canales de notificación y quieres recibir notificaciones, haz clic en Editar canales de notificación y añade tus canales de notificación. Vuelve a la página Alertas después de añadir tus canales.
  3. En la página Alertas, selecciona Crear política.
  4. Para seleccionar la métrica, despliega el menú Seleccionar una métrica y, a continuación, haz lo siguiente:
    1. Para limitar el menú a las entradas relevantes, introduce key_version en la barra de filtro. Si no hay resultados después de filtrar el menú, desactive el interruptor Mostrar solo recursos y métricas activos.
    2. En Tipo de recurso, selecciona Global.
    3. En Categoría de métrica, selecciona Métrica basada en registros.
    4. En Métrica, selecciona logging/user/key_version_destruction.
    5. Selecciona Aplicar.
  5. Haz clic en Siguiente.
  6. Los ajustes de la página Configurar activador de alerta determinan cuándo se activa la alerta. Completa esta página con los ajustes de la siguiente tabla.
    Página Configurar activador de alerta
    Campo
    Valor
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. Haz clic en Siguiente.
  8. Opcional: Para añadir notificaciones a tu política de alertas, haz clic en Canales de notificación. En el cuadro de diálogo, selecciona uno o más canales de notificación y, luego, haz clic en Aceptar.
  9. Opcional: Actualiza la duración del cierre automático de incidentes. Este campo determina cuándo cierra Monitoring los incidentes si no hay datos de métricas.
  10. Opcional: Haz clic en Documentación y añade la información que quieras incluir en las notificaciones.
  11. Haz clic en Nombre de la alerta y escribe el que quieras asignar a la política de alertas.
  12. Haz clic enCreate Policy (Crear política).
Para obtener más información, consulta el resumen de alertas.

Para probar la nueva notificación, programa la destrucción de una versión de la clave y, a continuación, comprueba tu correo para ver si se ha enviado la notificación.

Esta alerta se activará cada vez que se programe la eliminación de una versión de una clave. Ten en cuenta que la alerta se resolverá automáticamente (aunque la versión de la clave siga programada para eliminarse), por lo que recibirás dos notificaciones por correo electrónico: una para la eliminación programada y otra para la resolución de la alerta.

Para obtener más información sobre las políticas de alertas, consulta el artículo Introducción a las alertas. Para saber cómo activar, desactivar, editar, copiar o eliminar una política de alertas, consulta Gestionar políticas.

Para obtener información sobre los distintos tipos de notificaciones, consulta Opciones de notificaciones.

Monitorizar las actividades administrativas frente al acceso a los datos

La eliminación programada de una versión de clave es una actividad de administrador. Las actividades de los administradores se registran automáticamente. Si quieres crear una alerta para el acceso a datos de un recurso de Cloud KMS (por ejemplo, para monitorizar cuándo se usa una clave para el cifrado), debes habilitar los registros de acceso a datos y, a continuación, crear una política de alertas tal como se describe en este tema.

Para obtener más información sobre el registro de actividades administrativas y de acceso a los datos de Cloud KMS, consulta Usar registros de auditoría de Cloud con Cloud KMS.

Métricas de cuota de frecuencia

Cloud KMS admite las siguientes métricas de cuota de frecuencia:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Para obtener información sobre cómo monitorizar estas cuotas con Cloud Monitoring, consulta Configurar alertas y monitorización de cuotas.

Siguientes pasos