搭配 Cloud KMS 使用 Cloud Monitoring

Cloud Monitoring 可用來監控針對 Cloud Key Management Service 中的資源執行的作業。

本主題將提供:

  • 監控排定金鑰版本刪除作業時機的範例
  • 監控其他 Cloud KMS 資源和作業的相關資訊

事前準備

如果您尚未設定,請設定 Google Cloud 已啟用 Cloud Key Management Service API 的專案。如需相關步驟,請參閱 Cloud KMS 快速入門導覽課程

建立計數器指標

請使用 gcloud logging metrics create 指令建立計數器指標,以便監控金鑰版本遭到安排刪除的情況。

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

您可以使用 gcloud logging metrics list 指令列出計數器指標:

gcloud logging metrics list

如要進一步瞭解如何 (透過Google Cloud 主控台和 Monitoring API) 建立計數器指標,請參閱「建立計數器指標」。

建立快訊政策

您可以建立快訊政策,監控指標的值,並在這些指標違反條件時通知您。

  1. 前往 Google Cloud 控制台的 「Alerting」(警告) 頁面

    前往「Alerting」(快訊)

    如果您是使用搜尋列尋找這個頁面,請選取子標題為「Monitoring」的結果

  2. 如果您尚未建立通知管道,但想收到通知,請按一下「Edit Notification Channels」(編輯通知管道),然後新增通知管道。新增管道後,請返回「快訊」頁面。
  3. 在「Alerting」頁面中,選取「Create policy」
  4. 如要選取指標,請展開「選取指標」選單,然後按照下列步驟操作:
    1. 如要將選單限制為相關項目,請在篩選列中輸入 key_version。如果篩選選單後沒有任何結果,請停用「僅顯示活躍的資源和指標」切換按鈕。
    2. 在「Resource type」(資源類型) 中,選取「Global」(全域)
    3. 在「指標類別」中,選取「記錄指標」
    4. 針對「指標」,選取「logging/user/key_version_destruction」
    5. 選取 [Apply] (套用)
  5. 點按「Next」
  6. 「Configure alert trigger」頁面中的設定會決定快訊觸發的時機。 按照下表中的設定,完成這個頁面。
    「Configure alert trigger」(設定快訊觸發條件) 頁面
    欄位
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. 點按「Next」
  8. 選用步驟:如要新增通知至快訊政策,請按一下「通知管道」。在對話方塊中,從選單中選取一或多個通知管道,然後按一下「OK」
  9. 選用:更新「Incident autoclose duration」。這個欄位會決定 Monitoring 在沒有指標資料時關閉事件的時間。
  10. 選用步驟:按一下「說明文件」,然後輸入您希望在通知訊息中顯示的資訊。
  11. 按一下「快訊名稱」,然後輸入快訊政策的名稱。
  12. 點選「建立政策」
詳情請參閱快訊總覽

如要測試新通知,請排程金鑰版本的刪除作業,然後查看電子郵件,確認通知是否送出。

每當您排程金鑰版本的刪除作業時,系統就會觸發此快訊。請注意,即使金鑰版本仍已安排刪除,快訊也會自動解除。因此,系統會傳送兩則電子郵件通知,一則顯示已排程刪除作業,另一則說明快訊已解除。

如需快訊政策的詳細資訊,請參閱快訊簡介一文。如要瞭解如何開啟、關閉、編輯、複製或刪除快訊政策,請參閱管理政策

如需不同通知類型的相關資訊,請參閱通知選項一文。

監控管理活動和監控資料存取之間的差異

金鑰版本的安排刪除作業屬於「系統管理員活動」。系統會自動記錄系統管理員活動。如果您要為 Cloud KMS 資源的「資料存取」建立快訊 (例如監控金鑰何時用於加密作業),就必須先啟用資料存取記錄,然後依照本主題所述的步驟來建立快訊政策。

如要進一步瞭解記錄 Cloud KMS 管理活動和資料存取的相關資訊,請參閱將 Cloud 稽核記錄與 Cloud KMS 搭配使用

頻率配額指標

Cloud KMS 支援下列頻率配額指標:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

如要瞭解如何使用 Cloud Monitoring 監控這些配額,請參閱「監控配額指標」一文。

後續步驟