Surveiller l'utilisation de l'EKM

Vous pouvez utiliser Cloud Monitoring pour surveiller votre connexion à un gestionnaire de clés externe (EKM). Les métriques suivantes peuvent vous aider à comprendre votre utilisation d'EKM :

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

Cette page vous explique comment créer un tableau de bord pour suivre les métriques liées à vos clés Cloud EKM et à votre connexion au gestionnaire de clés externe, telles que le nombre de requêtes et les latences. Pour en savoir plus sur ces métriques, consultez Métriques cloudkms. Pour en savoir plus sur le processus de création de tableau de bord décrit dans les sections suivantes, consultez Gérer les tableaux de bord à l'aide d'API.

Avant de commencer

Les étapes décrites sur cette page supposent ce qui suit :

• Vous avez déjà configuré Cloud EKM dans un projet, y compris une connexion EKM et une ou plusieurs clés externes.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer des tableaux de bord à l'aide de gcloud CLI, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

• Éditeur de configuration du tableau de bord Monitoring (roles/monitoring.dashboardEditor)
• Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour créer des tableaux de bord à l'aide de gcloud CLI. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour créer des tableaux de bord à l'aide de gcloud CLI :

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer un tableau de bord pour surveiller votre EKM

Pour surveiller l'état de votre EKM, créez un tableau de bord qui surveille le nombre de requêtes et les latences :

1. Téléchargez la configuration du tableau de bord : ekm-dashboard.json.

2. Créez un tableau de bord personnalisé avec le fichier de configuration en exécutant la commande suivante :

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

Afficher votre tableau de bord EKM

1. Dans la console Google Cloud , accédez à la page Surveillance ou utilisez le bouton suivant :

   Accéder à Monitoring

2. Sélectionnez Ressources>Tableaux de bord, puis affichez le tableau de bord intitulé Cloud KMS EKM.

Créer une règle d'alerte pour les métriques EKM

Effectuez les étapes suivantes à l'aide de la gcloud CLI :

1. Sélectionnez un canal de notification pour recevoir les alertes sur les métriques EKM.

   • Pour utiliser un canal de notification existant, commencez par afficher vos canaux :

     gcloud beta monitoring channels list
     

     Sélectionnez une chaîne dans la liste. Notez l'ID du canal de notification, car vous en aurez besoin plus tard.

   • Pour utiliser un nouveau canal de notification, créez-le à l'aide d'une adresse e-mail :

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     Si l'opération réussit, la commande renvoie le nom du nouveau canal. Notez l'ID du canal de notification, car vous en aurez besoin plus tard. Le résultat ressemble à ce qui suit :

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Créez une règle d'alerte à l'aide de la commande monitoring policies create :

       gcloud alpha monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Remplacez les éléments suivants :

   • NOTIFICATION_CHANNEL_ID : ID du canal de notification.
   • LOCATION : région pour laquelle vous souhaitez définir une alerte pour cette métrique. Si vous souhaitez recevoir des alertes quelle que soit la région, omettez metric.labels.ekm_service_region.
   • LABEL_METHOD : libellé method sur lequel vous souhaitez créer une alerte (par exemple, wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo ou getPublicKey). Vous pouvez utiliser l'explorateur de métriques pour explorer les libellés de métriques.

Étapes suivantes

• Explorez vos données selon différentes dimensions de métriques à l'aide de l'explorateur de métriques.
• Facultatif : Créez des règles d'alerte.