Cloud Monitoring peut être utilisé pour surveiller les opérations effectuées sur les ressources dans Cloud Key Management Service.
Cet article comprend :
- un exemple de surveillance lorsqu'une version de clé est programmée pour destruction ;
- des informations sur la surveillance d'autres ressources et opérations Cloud KMS.
Avant de commencer
Si vous ne l'avez pas déjà fait, configurez un projet Google Cloud pour lequel l'API Cloud Key Management Service est activée. Ces étapes sont documentées dans le Guide de démarrage rapide de Cloud KMS.
Créer une métrique de compteur
Exécutez la commande gcloud logging metrics create
pour créer une métrique de compteur qui surveillera toute occurrence de la destruction planifiée d'une version de clé.
gcloud logging metrics create key_version_destruction \ --description "Key version scheduled for destruction" \ --log-filter "resource.type=cloudkms_cryptokeyversion \ AND protoPayload.methodName=DestroyCryptoKeyVersion"
Vous pouvez répertorier les métriques de compteur à l'aide de la commande gcloud logging metrics list
:
gcloud logging metrics list
Pour en savoir plus sur la création d'une métrique de compteur, y compris via la console Google Cloud et l'API Monitoring, consultez la page Créer une métrique de compteur.
Créer une règle d'alerte
Vous pouvez créer des règles d'alerte pour surveiller les valeurs des métriques et être informé lorsqu'elles ne respectent pas une condition.
-
Dans la console Google Cloud, accédez à la page notificationsAlertes :
Accéder à l'interface des alertes
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.
- Si vous n'avez pas créé vos canaux de notification et que vous souhaitez être averti, cliquez sur Modifier les canaux de notification et ajoutez vos canaux de notification. Revenez à la page Alertes après avoir ajouté vos canaux.
- Sur la page Alertes, cliquez sur Créer une règle.
- Pour sélectionner la métrique, développez le menu Sélectionner une métrique, puis procédez comme suit :
- Pour limiter le menu aux entrées pertinentes, saisissez
key_version
dans la barre de filtre. Si aucun résultat ne s'affiche après avoir filtré le menu, désactivez l'option Afficher seulement les ressources et les métriques actives. - Dans le champ Type de ressource, sélectionnez Global.
- Dans le champ Catégorie de métriques, sélectionnez Métrique basée sur les journaux.
- Dans le champ Métrique, sélectionnez logging/user/key_version_destruction.
- Sélectionnez Appliquer.
- Pour limiter le menu aux entrées pertinentes, saisissez
- Cliquez sur Suivant.
- Les paramètres de la page Configurer le déclencheur d'alerte déterminent le moment où l'alerte se déclenche.
Renseignez cette page avec les paramètres du tableau suivant.
Champ de la page
Configurer le déclencheur d'alerte
ValeurAlert trigger
Any time series violates
Threshold position
Above threshold
Threshold value
0
Advanced Options: Retest window
No retest
- Cliquez sur Suivant.
- Facultatif : Pour ajouter des notifications à votre règle d'alerte, cliquez sur Canaux de notification. Dans la boîte de dialogue, sélectionnez un ou plusieurs canaux de notification dans le menu, puis cliquez sur OK.
- (Facultatif) Mettez à jour la durée de fermeture automatique de l'incident. Ce champ détermine à quel moment Monitoring ferme les incidents en l'absence de données de métriques.
- Facultatif : Cliquez sur Documentation, puis ajoutez les informations à inclure dans le message de notification.
- Cliquez sur Nom de l'alerte et saisissez un nom pour la règle d'alerte.
- Cliquez sur Créer une stratégie.
Pour tester la nouvelle notification, programmez la destruction d'une version de clé, puis consultez votre boîte de réception pour voir si la notification a été envoyée.
Cette alerte est déclenchée chaque fois qu'une clé a été programmée pour être détruite. Notez que l'alerte sera automatiquement résolue, même si la version de clé reste programmée pour destruction. Vous recevrez ainsi deux notifications par e-mail, une pour la destruction programmée et une autre pour l'alerte en cours de résolution.
Pour en savoir plus sur les règles d'alerte, consultez la section Présentation des alertes. Pour plus d'informations sur l'activation, la désactivation, la modification, la copie ou la suppression d'une règle d'alerte, consultez la section Gérer des règles.
Pour plus d'informations sur les différents types de notifications, consultez la section Options de notification.
Surveiller les activités d'administration ou l'accès aux données
La destruction programmée d'une version de clé est une activité d'administration. Les activités d'administration sont automatiquement consignées. Si vous souhaitez créer une alerte pour l'accès aux données d'une ressource Cloud KMS, par exemple lorsqu'une clé est utilisée à des fins de chiffrement, vous devez activer les journaux d'accès aux données, puis créer une règle d'alerte comme décrit dans cet article.
Pour plus d'informations sur la journalisation des activités administratives et l'accès aux données Cloud KMS, consultez la section Utiliser Cloud Audit Logging avec Cloud KMS.
Métriques de quota
Cloud KMS accepte les métriques de quota suivantes :
cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests
Pour plus d'informations sur la surveillance de ces quotas à l'aide de Cloud Monitoring, consultez la section Surveiller des métriques de quota.