証明書をモニタリングする

Certificate Manager(第 2 世代)の概要ダッシュボードは、安全で健全な証明書環境の維持に役立ちます。このダッシュボードを使用すると、期限切れの証明書の特定、セキュリティ ポスチャーの監査、発行傾向の追跡を行うことができます。

概要ダッシュボードには、次のモニタリング グラフが表示されます。

  • 過去 7 日間に発行された証明書の数: 過去 7 日間に発行された証明書の総数を追跡します。
  • 認証局タイプ別に発行された証明書: 証明書を認証局タイプ(パブリック、プライベート、不明)別にグループ化します。
  • 発行された証明書(ロケーション別): 証明書をデプロイ ロケーション別に地理的に並べ替えます。
  • 有効期限切れの証明書: 7 日以内と 30 日以内の両方で有効期限が切れる証明書が表示されます。

始める前に

  1. Google Cloud アカウントにログインします。 Google Cloudを初めて使用する場合は、 アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

必要なロール

証明書のモニタリングに必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

概要ダッシュボードにアクセスする

ダッシュボードにアクセスして証明書の指標を表示する手順は次のとおりです。

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager の概要ダッシュボードに移動

  2. 省略可: 期間を調整するには、ダッシュボードの右上にある時間セレクタを使用します。デフォルトでは、ダッシュボードには過去 7 日間の指標が表示されます。

ダッシュボードのデータは 24 時間ごとに更新されます。

証明書の健全性と有効期限をモニタリングする

ダッシュボードには、有効期間の長い証明書(有効期間が 72 時間を超える証明書)に特に焦点を当てた指標が表示されます。

Certificate Manager(第 2 世代)では、短期間の証明書(有効期間が 72 時間未満)は除外されます。これは、短期間の証明書は頻繁に自動ローテーションが行われるため、長期間の証明書と同じ手動モニタリングを必要としないためです。

手動での介入が必要な期限切れの証明書をモニタリングする手順は次のとおりです。

  1. ダッシュボードで [有効期限切れの証明書] グラフを見つけます。
  2. 有効期限が近づいている証明書の警告を確認します。
  3. 有効期限切れの警告が表示された場合は、証明書の ID を使用してインベントリを検索し、代替証明書がすでに存在するかどうかを確認します。詳細については、証明書インベントリをフィルタするをご覧ください。

証明書インベントリを監査する

ダッシュボードの [インベントリ指標] セクションを使用して、選択した期間に環境内のアクティブな証明書を監査します。

インベントリを監査するには、次の条件で分類された証明書を確認します。

  • リソース別に有効な証明書を表示: 証明書を発行した Google Cloud リソースに基づいて証明書の数を追跡します。Certificate Manager(第 2 世代)は、マネージド ワークロード ID またはロード バランシングによって発行された証明書を識別します。Certificate Authority Service を介して発行された他の証明書は、[未指定] として分類されます。詳細については、サポートされているサービスをご覧ください。
  • 鍵アルゴリズム別に有効な証明書を表示する: 証明書をリーフ鍵アルゴリズム(RSA や ECDSA など)でグループ化して、暗号化標準を監査します。これにより、組織のセキュリティ ポリシーを遵守できます。
  • 鍵使用プロファイル別に有効な証明書を表示する: 証明書をその用途別にグループ化します。Certificate Manager は、最も一致するプロファイルで証明書にラベルを付けます。プロファイルを特定できない場合は、[その他] と表示されます。

これらのカテゴリの特定の証明書を表示するには、[証明書を表示] をクリックしてインベントリ ページを開きます。

証明書発行の傾向を追跡する

発行指標グラフを使用して、構成されたサービスが時間の経過とともに証明書を生成する様子をモニタリングします。このアプローチは、成長を追跡し、発行の異常を特定するのに役立ちます。

発行の傾向を追跡するには、次の指標をモニタリングします。

  1. 場所別に発行された証明書: 各場所で発行された証明書の数を確認して、証明書数の地理的分布を確認します。
  2. 認証局タイプ別に発行された証明書: パブリック CA(Public Certificate Authority など)とプライベート CA(CA Service など)によって発行された証明書の数をモニタリングします。
  3. 発行された証明書の合計数: 選択した期間に発行された証明書の合計数をモニタリングして、環境の規模を把握します。

次のステップ