Fehlerbehebung bei der Laufwerksverschlüsselung

Auf dieser Seite wird beschrieben, wie Sie Probleme mit der Laufwerkverschlüsselung beheben.

Fehler bei der Schlüsselrotation

In diesem Abschnitt werden die Fehler aufgeführt, die beim Rotieren eines vom Kunden verwalteten Verschlüsselungsschlüssels (CMEK) auftreten können. Außerdem erhalten Sie Vorschläge zur Behebung dieser Fehler.

CMEK-Rotation wird für nicht CMEK-geschützte Laufwerke nicht unterstützt

Der folgende Fehler tritt auf, wenn Sie versuchen, einen CMEK für eine nicht unterstützte Ressource zu rotieren:

CMEK rotation is not supported for non-CMEK protected disks

Prüfen Sie, ob Ihre Ressource mit dem Cloud Key Management Service geschützt ist, um dieses Problem zu beheben.

CMEK-Rotation wird für einige Google Cloud Hyperdisk-Konfigurationen nicht unterstützt

Die folgende Fehlermeldung wird angezeigt, wenn Sie versuchen, den CMEK für ein Online-Confidential Hyperdisk-Volume oder ein Online-Hyperdisk-Volume zu rotieren oder zu ändern, das nicht an einen der unterstützten Maschinentypen angehängt ist:

CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X

So umgehen Sie das Problem:

  1. Laufwerk trennen
  2. CMEK mit der Methode compute.disks.updateKmsKey rotieren oder ändern
  3. Laufwerk wieder anhängen

Auf dem Laufwerk wird bereits die primäre KMS-Schlüsselversion verwendet

Die folgende Warnmeldung wird angezeigt, wenn für ein Laufwerk oder einen Standardsnapshot bereits die Primärschlüsselversion verwendet wird:

WARNING: Some requests generated warnings:
 - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.

In diesem Fall ist der API-Aufruf erfolgreich, die Schlüsselversion wird aber nicht aktualisiert.

Dieses Problem kann durch eine Verzögerung bei der Versionsaktualisierung durch KMS verursacht werden. Versuchen Sie später noch einmal, den Schlüssel zu rotieren, um das Problem zu beheben.

Wenn die Aufgabe fehlschlägt, aber die vorherige Fehlermeldung nicht angezeigt wird, können Sie Ihren Cloud KMS-Schlüssel manuell rotieren. Gehen Sie dazu so vor:

  1. Rotieren Sie Ihre Cloud KMS-Schlüssel.
  2. Erstellen Sie einen Snapshot des verschlüsselten Laufwerks.
  3. Verwenden Sie den neuen Snapshot, um ein neues Laufwerk mit dem im vorherigen Schritt rotierten Schlüssel zu erstellen.
  4. Ersetzen Sie das mit Ihrer VM verbundene Laufwerk, das den alten Verschlüsselungsschlüssel verwendet.

Beim Erstellen des neuen Laufwerks wird die neue Schlüsselversion für die Verschlüsselung verwendet. Alle Snapshots, die Sie von diesem Laufwerk erstellen, verwenden die neueste Primärschlüsselversion.

Wenn Sie einen Schlüssel mit Cloud Key Management Service rotieren, werden Daten, die mit früheren Schlüsselversionen verschlüsselt wurden, nicht automatisch neu verschlüsselt. Weitere Informationen finden Sie unter Daten neu verschlüsseln. Durch das Rotieren eines Schlüssels wird eine vorhandene Schlüsselversion nicht automatisch deaktiviert oder gelöscht.