Cloud Monitoring 可用于监控对 Cloud Key Management Service 中的资源执行的操作。
本主题提供以下各项:
- 监视密钥版本何时计划销毁的示例
- 有关监控其他 Cloud KMS 资源和操作的信息
准备工作
如果您尚未设置启用 Cloud Key Management Service API 的 Google Cloud 项目,请进行设置。Cloud KMS 快速入门中介绍了这些步骤。
创建计数器指标
使用 gcloud logging metrics create
命令创建计数器指标,该计数器指标将监控密钥版本的已安排的任何销毁。
gcloud logging metrics create key_version_destruction \ --description "Key version scheduled for destruction" \ --log-filter "resource.type=cloudkms_cryptokeyversion \ AND protoPayload.methodName=DestroyCryptoKeyVersion"
您可以使用 gcloud logging metrics list
命令列出计数器指标:
gcloud logging metrics list
如需详细了解如何创建计数器指标(包括通过 Google Cloud 控制台和 Monitoring API 创建),请参阅创建计数器指标。
创建提醒政策
您可以创建提醒政策来监控指标的值,当这些指标违反条件时便会通知您。
-
在 Google Cloud 控制台中,转到 notifications 提醒页面:
如果您使用搜索栏查找此页面,请选择子标题为监控的结果。
- 如果您尚未创建通知渠道并希望收到通知,请点击修改通知渠道并添加通知渠道。添加渠道后,返回到提醒页面。
- 在提醒页面中,点击创建政策。
- 如需选择指标,请展开选择指标菜单,然后执行以下操作:
- 如需将菜单限制为相关条目,请在过滤栏中输入
key_version
。如果过滤菜单后没有显示任何结果,请停用仅显示活跃的资源和指标切换开关。 - 对于资源类型,请选择 Global。
- 在指标类别部分,选择基于日志的指标。
- 在指标部分,选择 logging/user/key_version_destruction。
- 选择应用。
- 如需将菜单限制为相关条目,请在过滤栏中输入
- 点击下一步。
- 配置提醒触发器页面中的设置决定了何时触发提醒。
使用下表中的设置填写此页面。
配置提醒触发器页面
字段
值Alert trigger
Any time series violates
Threshold position
Above threshold
Threshold value
0
Advanced Options: Retest window
No retest
- 点击下一步。
- 可选:如需将通知添加到您的提醒政策中,请点击通知渠道。在对话框中,从菜单中选择一个或多个通知渠道,然后点击确定。
- 可选:更新突发事件自动关闭持续时间。此字段用于确定在缺少指标数据的情况下 Monitoring 何时关闭突发事件。
- 可选:点击文档,然后添加您希望包含在通知消息中的任何信息。
- 点击提醒名称,然后输入提醒政策的名称。
- 点击 Create Policy(创建政策)。
要测试新通知,请安排密钥版本进行销毁,然后检查您的电子邮件以查看通知是否已发送。
每次安排密钥版本销毁时都会触发此提醒。请注意,提醒将自动被解决(即使密钥版本仍然处于计划销毁状态),因此将有两个电子邮件通知,一个有关计划的销毁,另一个关于已解决的提醒。
如需了解有关提醒政策的更多信息,请参阅提醒简介。如需了解如何打开、关闭、修改、复制或删除提醒政策,请参阅管理政策。
如需了解不同类型通知的相关信息,请参阅通知选项。
监控管理活动与数据访问
计划销毁密钥版本是一项管理员活动。 系统会自动记录管理员活动。如果要为对 Cloud KMS 资源的数据访问创建提醒(例如监控密钥何时用于加密时),您需要启用数据访问日志,然后参照主题相关内容创建提醒政策。
如需详细了解如何记录 Cloud KMS 管理活动和数据访问,请参阅将 Cloud Audit Logs 与 Cloud KMS 配合使用。
费率配额指标
Cloud KMS 支持以下费率配额指标:
cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests
如需了解如何使用 Cloud Monitoring 监控这些配额,请参阅监控配额指标。