שימוש ב-Cloud Monitoring עם Cloud KMS

אפשר להשתמש ב-Cloud Monitoring כדי לעקוב אחרי פעולות שמתבצעות במשאבים ב-Cloud Key Management Service.

בנושא הזה מוסבר:

  • דוגמה למעקב אחרי מועד ההשמדה של גרסת מפתח
  • מידע על מעקב אחרי משאבים ופעולות אחרים ב-Cloud KMS

לפני שמתחילים

אם עדיין לא עשיתם את זה, צריך להגדיר פרויקט ב- Google Cloud שבו מופעל Cloud Key Management Service API. השלבים האלה מתועדים במדריך למתחילים בנושא Cloud KMS.

יצירת מדד מסוג מונה

משתמשים בפקודה gcloud logging metrics create כדי ליצור מדד של מונה שיעקוב אחרי כל מקרה של השמדה מתוזמנת של גרסה של מפתח.

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

כדי להציג את מדדי הדלפק, משתמשים בפקודה gcloud logging metrics list:

gcloud logging metrics list

מידע נוסף על יצירת מדד מסוג מונה, כולל באמצעות מסוףGoogle Cloud ו-Monitoring API, זמין במאמר יצירת מדד מסוג מונה.

יצירת מדיניות התראות

אתם יכולים ליצור מדיניות התראות כדי לעקוב אחרי ערכי המדדים ולקבל התראה כשהמדדים האלה לא עומדים בתנאי מסוים.

  1. נכנסים לדף  Alerting במסוף Google Cloud :

    כניסה אל התראות

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

  2. אם לא יצרתם ערוצי התראות ואתם רוצים לקבל התראות, לוחצים על Edit Notification Channels (עריכת ערוצי התראות) ומוסיפים את ערוצי ההתראות. אחרי שמוסיפים את הערוצים, חוזרים לדף התראות.
  3. בדף Alerting, בוחרים באפשרות Create policy.
  4. כדי לבחור את המדד, מרחיבים את התפריט Select a metric ומבצעים את הפעולות הבאות:
    1. כדי להגביל את התפריט לרשומות רלוונטיות, מזינים key_version בסרגל הסינון. אם לא מוצאים תוצאות אחרי סינון התפריט, משביתים את המתג Show only active resources & metrics.
    2. בקטע Resource type, בוחרים באפשרות Global.
    3. בקטע Metric category (קטגוריית מדדים), בוחרים באפשרות Logs-Based Metric (מדד מבוסס-יומנים).
    4. בקטע מדד, בוחרים באפשרות logging/user/key_version_destruction.
    5. לוחצים על אישור.
  5. לוחצים על הבא.
  6. ההגדרות בדף Configure alert trigger קובעות מתי ההתראה תופעל. משלימים את ההגדרות בדף הזה לפי הטבלה הבאה.
    הגדרת טריגר להתראה דף
    שדה
    ערך
    Alert trigger Any time series violates
    Threshold position Above threshold
    Threshold value 0
    Advanced Options: Retest window No retest
  7. לוחצים על הבא.
  8. אופציונלי: כדי להוסיף התראות למדיניות ההתראות, לוחצים על ערוצי התראות. בתיבת הדו-שיח, בוחרים ערוץ או יותר של הודעות מהתפריט ולוחצים על אישור.
  9. אופציונלי: מעדכנים את משך הזמן עד לסגירה אוטומטית של אירוע. השדה הזה קובע מתי מערכת Monitoring סוגרת אירועים בהיעדר נתוני מדדים.
  10. אופציונלי: לוחצים על תיעוד, ואז מוסיפים את המידע שרוצים לכלול בהודעת ההתראה.
  11. לוחצים על שם ההתראה ומזינים שם למדיניות ההתראה.
  12. לוחצים על יצירת מדיניות.
מידע נוסף זמין במאמר סקירה כללית על התראות.

כדי לבדוק את ההתראה החדשה, מתזמנים השמדה של גרסת מפתח ואז בודקים אם ההתראה נשלחה באימייל.

ההתראה הזו תופעל בכל פעם שגרסת מפתח מתוזמנת להשמדה. שימו לב שההתראה תיפתר באופן אוטומטי (גם אם גרסת המפתח עדיין מתוזמנת להשמדה), ולכן יישלחו שתי הודעות אימייל: אחת על ההשמדה המתוזמנת ואחת על פתרון ההתראה.

מידע נוסף על מדיניות התראות זמין במאמר מבוא להתראות. במאמר ניהול מדיניות מוסבר איך להפעיל, להשבית, לערוך, להעתיק או למחוק מדיניות התראה.

מידע על סוגים שונים של התראות זמין במאמר אפשרויות של התראות.

מעקב אחרי פעילויות אדמיניסטרטיביות לעומת גישה לנתונים

השמדה מתוזמנת של גרסת מפתח היא פעילות של אדמין. פעילויות של אדמינים מתועדות באופן אוטומטי. אם רוצים ליצור התראה על גישה לנתונים של משאב Cloud KMS, למשל מעקב אחרי השימוש במפתח להצפנה, צריך להפעיל יומני גישה לנתונים ואז ליצור מדיניות התראה כמו שמתואר בנושא הזה.

מידע נוסף על רישום ביומן של פעילויות אדמיניסטרטיביות וגישה לנתונים ב-Cloud KMS זמין במאמר שימוש ביומני ביקורת של Cloud עם Cloud KMS.

מדדי מכסה לקצב הגשת בקשות

‫Cloud KMS תומך במדדי מכסה לקצב הגשת בקשות הבאים:

  • cloudkms.googleapis.com/crypto_requests
  • cloudkms.googleapis.com/external_kms_requests
  • cloudkms.googleapis.com/hsm_asymmetric_requests
  • cloudkms.googleapis.com/hsm_symmetric_requests
  • cloudkms.googleapis.com/read_requests
  • cloudkms.googleapis.com/write_requests

מידע על מעקב אחרי המכסות האלה באמצעות Cloud Monitoring זמין במאמר בנושא הגדרת התראות ומעקב אחרי מכסות.

המאמרים הבאים