搭配 Cloud KMS 使用 Cloud Monitoring

Cloud Monitoring 可用來監控針對 Cloud Key Management Service 中的資源執行的作業。

本主題將提供：

監控排定金鑰版本刪除作業時機的範例
監控其他 Cloud KMS 資源和作業的相關資訊

事前準備

如果您尚未設定專案，請先設定專案並啟用 Cloud Key Management Service API。 Cloud de Confiance by S3NS 如需相關步驟，請參閱 Cloud KMS 快速入門導覽課程。

建立計數器指標

請使用 gcloud logging metrics create 指令建立計數器指標，以便監控金鑰版本遭到安排刪除的情況。

gcloud logging metrics create key_version_destruction \
  --description "Key version scheduled for destruction" \
  --log-filter "resource.type=cloudkms_cryptokeyversion \
  AND protoPayload.methodName=DestroyCryptoKeyVersion"

您可以使用 gcloud logging metrics list 指令列出計數器指標：

gcloud logging metrics list

如要進一步瞭解如何 (透過Cloud de Confiance 主控台和 Monitoring API) 建立計數器指標，請參閱建立計數器指標。

建立快訊政策

您可以建立快訊政策來監控指標值，並在指標違反條件時收到通知。

前往 Cloud de Confiance 控制台的「Alerting」(警告) 頁面：
前往「Alerting」(快訊)

如果您是使用搜尋列尋找這個頁面，請選取子標題為「Monitoring」的結果。
如果您尚未建立通知管道，但想收到通知，請按一下「編輯通知管道」，然後新增通知管道。新增管道後，返回「快訊」頁面。
在「Alerting」(快訊) 頁面中，選取「Create policy」(建立政策)。
如要選取指標，請展開「選取指標」選單，然後執行下列操作：
1. 如要將選單限制為相關項目，請在篩選列中輸入 key_version。如果篩選選單後沒有顯示任何結果，請停用「僅顯示活躍的資源和指標」切換按鈕。
2. 在「Resource type」(資源類型) 部分選取「Global」(全域)。
3. 在「指標類別」中，選取「記錄指標」。
4. 針對「Metric」(指標)，選取「logging/user/key_version_destruction」。
5. 選取 [Apply] (套用)。
點選「下一步」。
「設定快訊觸發條件」頁面中的設定會決定快訊的觸發時機。按照下表中的設定完成這個頁面。

「設定快訊觸發條件」頁面
欄位
值

Alert trigger Any time series violates

Threshold position Above threshold

Threshold value 0

Advanced Options: Retest window No retest
點選「下一步」。
選用：如要新增通知至您的快訊政策，請按一下「通知管道」。在對話方塊中，從選單選取一或多個通知管道，然後按一下「確定」。
選用：更新「事件自動關閉期限」。這個欄位會決定 Monitoring 何時會在沒有指標資料的情況下關閉事件。
選用：按一下「說明文件」，然後在通知訊息中新增任何資訊。
按一下「快訊名稱」，然後輸入快訊政策的名稱。
點選「建立政策」。

「設定快訊觸發條件」頁面欄位	值
`Alert trigger`	`Any time series violates`
`Threshold position`	`Above threshold`
`Threshold value`	`0`
`Advanced Options: Retest window`	`No retest`

詳情請參閱「快訊總覽」。

如要測試新通知，請排程金鑰版本的刪除作業，然後查看電子郵件，確認通知是否送出。

每當您排程金鑰版本的刪除作業時，系統就會觸發此快訊。請注意，即使金鑰版本仍已安排刪除，快訊也會自動解除。因此，系統會傳送兩則電子郵件通知，一則顯示已排程刪除作業，另一則說明快訊已解除。

如需快訊政策的詳細資訊，請參閱快訊簡介一文。如要瞭解如何開啟、關閉、編輯、複製或刪除快訊政策，請參閱管理政策。

如需不同通知類型的相關資訊，請參閱通知選項一文。

監控管理活動和監控資料存取之間的差異

金鑰版本的安排刪除作業屬於「系統管理員活動」。系統會自動記錄系統管理員活動。如果您要為 Cloud KMS 資源的「資料存取」建立快訊 (例如監控金鑰何時用於加密作業)，就必須先啟用資料存取記錄，然後依照本主題所述的步驟來建立快訊政策。

如要進一步瞭解記錄 Cloud KMS 管理活動和資料存取的相關資訊，請參閱將 Cloud 稽核記錄與 Cloud KMS 搭配使用。

頻率配額指標

Cloud KMS 支援下列頻率配額指標：

cloudkms.googleapis.com/crypto_requests
cloudkms.googleapis.com/external_kms_requests
cloudkms.googleapis.com/hsm_asymmetric_requests
cloudkms.googleapis.com/hsm_symmetric_requests
cloudkms.googleapis.com/read_requests
cloudkms.googleapis.com/write_requests

如要瞭解如何使用 Cloud Monitoring 監控這些配額，請參閱設定配額快訊和監控。

後續步驟

監控外部金鑰管理工具的使用情況。