Supervisa el uso del EKM

Puedes usar Cloud Monitoring para supervisar tu conexión de External Key Manager (EKM). Las siguientes métricas pueden ayudarte a comprender el uso de EKM:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

En esta página, se muestra cómo crear un panel para hacer un seguimiento de las métricas relacionadas con tus claves de Cloud EKM y la conexión de External Key Manager, como los recuentos de solicitudes y las latencias. Para obtener más información sobre estas métricas, consulta Métricas de cloudkms. Para obtener más información sobre el proceso de creación de paneles que se describe en las siguientes secciones, consulta Administra paneles mediante API.

Antes de comenzar

En los pasos de esta página, se supone lo siguiente:

• Ya tienes Cloud EKM configurado en un proyecto, incluida una conexión de EKM y una o más claves externas.

Roles obligatorios

Para obtener los permisos que necesitas para crear paneles con gcloud CLI, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

• Editor de configuración del panel de Monitoring (roles/monitoring.dashboardEditor)
• Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para crear paneles con gcloud CLI. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para crear paneles con gcloud CLI:

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.

Crea un panel para supervisar tu EKM

Para supervisar el estado de tu EKM, crea un panel que supervise el recuento de solicitudes y las latencias:

1. Descarga la configuración del panel: ekm-dashboard.json.

2. Ejecuta el siguiente comando para crear un panel personalizado con el archivo de configuración:

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

Consulta tu panel de EKM

1. En la Google Cloud consola, ve a la página Monitoring o usa el siguiente botón:

   Ir a Monitoring

2. Selecciona Recursos > Paneles y consulta el panel llamado Cloud KMS EKM.

Crea una política de alertas para las métricas de EKM

Completa los siguientes pasos con gcloud CLI:

1. Selecciona un canal de notificaciones para recibir alertas de métricas de EKM.

   • Para usar un canal de notificaciones existente, primero consulta tus canales:

     gcloud beta monitoring channels list
     

     Elige un canal de la lista. Anota el ID del canal de notificaciones, ya que lo necesitarás más adelante.

   • Para usar un canal de notificaciones nuevo, crea el canal con una dirección de correo electrónico:

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     Si se ejecuta correctamente, este comando muestra el nombre del canal nuevo. Anota el ID del canal de notificaciones, ya que lo necesitarás más adelante. La salida es similar a lo siguiente:

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Crea una política de alertas con el monitoring policies create comando:

       gcloud monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Reemplaza lo siguiente:

   • NOTIFICATION_CHANNEL_ID: Es el ID del canal de notificaciones.
   • LOCATION: Es la región para la que deseas generar alertas sobre esta métrica. Si deseas generar alertas sin importar la región, omite metric.labels.ekm_service_region.
   • LABEL_METHOD: Es la etiqueta method sobre la que deseas generar alertas, por ejemplo, wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo, o getPublicKey. Puedes usar el Explorador de métricas para explorar las etiquetas de métricas.

¿Qué sigue?

• Explora tus datos en varias dimensiones de métricas con el Explorador de métricas.
• Opcional: Crea políticas de alertas.