Utilizzo di Cloud Monitoring con Cloud KMS

Cloud Monitoring può essere utilizzato per monitorare le operazioni eseguite sulle risorse in Cloud Key Management Service.

Questo argomento fornisce:

  • un esempio per il monitoraggio quando è pianificata l'eliminazione di una versione della chiave
  • Informazioni sul monitoraggio di altre operazioni e risorse Cloud KMS

Prima di iniziare

Se non l'hai ancora fatto, configura un progetto Google Cloud in cui è abilitata l'API Cloud Key Management Service. Questi passaggi sono descritti nella guida rapida di Cloud KMS.

Creare una metrica del contatore

Utilizza il comando gcloud logging metrics create per creare una metrica del contatore che monitora qualsiasi occorrenza dell'eliminazione pianificata di una versione della chiave.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

Puoi elencare le metriche del contatore utilizzando il comando gcloud logging metrics list:

gcloud logging metrics list

Per ulteriori informazioni sulla creazione di una metrica del contatore, ad esempio tramite la console Google Cloud e l'API Monitoring, consulta Creare una metrica del contatore.

Crea un criterio di avviso

Puoi creare criteri di avviso per monitorare i valori delle metriche e ricevere notifiche quando queste violano una condizione.

  1. Nella console Google Cloud, vai alla pagina  Avvisi:

    Vai ad Avvisi

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Se non hai creato i canali di notifica e vuoi ricevere notifiche, fai clic su Modifica canali di notifica e aggiungi i canali di notifica. Torna alla pagina Avvisi dopo aver aggiunto i tuoi canali.
  3. Nella pagina Avvisi, seleziona Crea criterio.
  4. Per selezionare la metrica, espandi il menu Seleziona una metrica e poi procedi nel seguente modo:
    1. Per limitare il menu alle voci pertinenti, inserisci key_version nella barra dei filtri. Se non vengono visualizzati risultati dopo aver filtrato il menu, disattiva l'opzione Mostra solo risorse e metriche attive.
    2. In Tipo di risorsa, seleziona Globale.
    3. Per la Categoria metrica, seleziona Metrica basata su log.
    4. Per Metrica, seleziona logging/user/key_version_destruction.
    5. Seleziona Applica.
  5. Fai clic su Avanti.
  6. Le impostazioni nella pagina Configura attivatore di avvisi determinano quando viene attivato l'avviso. Completa questa pagina con le impostazioni riportate nella tabella seguente.
    Pagina Configura attivatore di avvisi
    Campo
    Valore
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. Fai clic su Avanti.
  8. (Facoltativo) Per aggiungere notifiche al tuo criterio di avviso, fai clic su Canali di notifica. Nella finestra di dialogo, seleziona uno o più canali di notifica dal menu e fai clic su OK.
  9. (Facoltativo) Aggiorna la Durata chiusura automatica incidenti. Questo campo determina quando Monitoring chiude gli incidenti in assenza di dati delle metriche.
  10. (Facoltativo) Fai clic su Documentazione e aggiungi tutte le informazioni che vuoi includere in un messaggio di notifica.
  11. Fai clic su Nome avviso e inserisci un nome per il criterio di avviso.
  12. Fai clic su Crea criterio.
Per ulteriori informazioni, consulta Criteri di avviso.

Per testare la nuova notifica, pianifica l'eliminazione di una versione della chiave e poi controlla la tua email per vedere se la notifica è stata inviata.

Questo avviso viene attivato ogni volta che è stata pianificata l'eliminazione di una versione della chiave. Tieni presente che l'avviso verrà risolto automaticamente (anche se la versione della chiave rimane pianificata per l'eliminazione), quindi riceverai due notifiche via email, una per l'eliminazione pianificata e una per la risoluzione dell'avviso.

Per ulteriori informazioni sui criteri di avviso, consulta Introduzione agli avvisi. Per scoprire come attivare, disattivare, modificare, copiare o eliminare un criterio di avviso, consulta Gestire i criteri.

Per informazioni sui diversi tipi di notifiche, consulta Opzioni di notifica.

Monitoraggio delle attività amministrative e dell'accesso ai dati

L'eliminazione pianificata di una versione della chiave è un'attività di amministratore. Le attività amministrative vengono registrate automaticamente. Se vuoi creare un avviso per l'accesso ai dati di una risorsa Cloud KMS, ad esempio per monitorare quando viene utilizzata una chiave per la crittografia, devi abilitare i log di accesso ai dati e poi creare un criterio di avviso come descritto in questo argomento.

Per ulteriori informazioni sulla registrazione delle attività amministrative e di accesso ai dati di Cloud KMS, consulta Utilizzare gli audit log di Cloud con Cloud KMS.

Metriche relative alla quota di frequenza

Cloud KMS supporta le seguenti metriche relative alle quote di tariffa:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

Per informazioni sul monitoraggio di queste quote utilizzando Cloud Monitoring, consulta Monitoraggio delle metriche della quota.

Passaggi successivi