EKM-Nutzung überwachen

Mit Cloud Monitoring können Sie Ihre Verbindung zum externen Schlüsselmanager (External Key Manager, EKM) überwachen. Anhand der folgenden Messwerte können Sie Ihre EKM-Nutzung nachvollziehen:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

Auf dieser Seite wird beschrieben, wie Sie ein Dashboard erstellen, um Messwerte im Zusammenhang mit Ihren Cloud EKM-Schlüsseln und der Verbindung zum externen Schlüsselmanager zu verfolgen, z. B. die Anzahl der Anfragen und Latenzen. Weitere Informationen zu diesen Messwerten finden Sie unter Cloud KMS-Messwerte. Weitere Informationen über das Verfahren zum Erstellen von Dashboards, das in den folgenden Abschnitten beschrieben wird, finden Sie unter Dashboards nach API verwalten.

Hinweis

Bei den Schritten auf dieser Seite wird davon ausgegangen, dass Folgendes zutrifft:

• Sie haben Cloud EKM bereits in einem Projekt eingerichtet, einschließlich einer EKM-Verbindung und mindestens eines externen Schlüssels.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Dashboards mit der gcloud CLI benötigen:

• Bearbeiter der Monitoring-Dashboardkonfiguration (roles/monitoring.dashboardEditor)
• Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Erstellen von Dashboards mit der gcloud CLI erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Erstellen von Dashboards mit der gcloud CLI erforderlich:

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Dashboard zum Überwachen Ihres EKM erstellen

Wenn Sie den Status Ihres EKM überwachen möchten, erstellen Sie ein Dashboard, das die Anzahl der Anfragen und Latenzen überwacht:

1. Laden Sie die Dashboardkonfiguration herunter: ekm-dashboard.json.

2. Erstellen Sie mithilfe des folgenden Befehls ein benutzerdefiniertes Dashboard mit der Konfigurationsdatei:

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

EKM-Dashboard aufrufen

1. Rufen Sie in der Google Cloud Konsole die Monitoring Seite auf oder verwenden Sie die folgende Schaltfläche:

   Zu Monitoring

2. Wählen Sie Ressourcen > Dashboards und das Dashboard mit dem Namen Cloud KMS EKM aus.

Benachrichtigungsrichtlinie für EKM-Messwerte erstellen

Führen Sie die folgenden Schritte mit der gcloud CLI aus:

1. Wählen Sie einen Benachrichtigungskanal aus, über den Sie Benachrichtigungen zu EKM-Messwerten erhalten möchten.

   • Wenn Sie einen vorhandenen Benachrichtigungskanal verwenden möchten, rufen Sie zuerst Ihre Kanäle auf:

     gcloud beta monitoring channels list
     

     Wählen Sie einen Kanal aus der Liste aus. Notieren Sie sich die ID des Benachrichtigungskanals. Sie benötigen sie später.

   • Wenn Sie einen neuen Benachrichtigungskanal verwenden möchten, erstellen Sie den Kanal mit einer E-Mail-Adresse:

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     Wenn der Befehl erfolgreich ausgeführt wurde, wird der Name des neuen Kanals zurückgegeben. Notieren Sie sich die ID des Benachrichtigungskanals. Sie benötigen sie später. Die Ausgabe sieht etwa so aus:

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Erstellen Sie mit dem monitoring policies create Befehl eine Benachrichtigungsrichtlinie:

       gcloud monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Ersetzen Sie Folgendes:

   • NOTIFICATION_CHANNEL_ID: die ID des Benachrichtigungskanals.
   • LOCATION: die Region, für die Sie Benachrichtigungen zu diesem Messwert erhalten möchten. Wenn Sie unabhängig von der Region benachrichtigt werden möchten, lassen Sie metric.labels.ekm_service_region weg.
   • LABEL_METHOD: das method Label, für das Sie Benachrichtigungen erhalten möchten, z. B. wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo oder getPublicKey. Mit dem Metrics Explorer können Sie Messwertlabels untersuchen.

Nächste Schritte

• Mit dem Metrics Explorer können Sie Ihre Daten anhand verschiedener Messwertdimensionen untersuchen.
• Optional: Benachrichtigungsrichtlinien erstellen.