Soluciona problemas de encriptación de discos

En esta página, se muestra cómo resolver problemas con el cifrado de discos.

Errores de rotación de claves

En esta sección, se enumeran los errores que puedes encontrar cuando rotas una clave de encriptación administrada por el cliente (CMEK) y se proporcionan sugerencias para corregirlos.

No se admite la rotación de CMEK para los discos no protegidos con CMEK

El siguiente error ocurre cuando intentas rotar una CMEK en un recurso no compatible:

CMEK rotation is not supported for non-CMEK protected disks

Para resolver este problema, confirma que tu recurso esté protegido con Cloud Key Management Service.

La rotación de CMEK no se admite para algunas configuraciones de Google Cloud Hyperdisk

El siguiente mensaje de error aparece cuando intentas rotar o cambiar la CMEK de un volumen de Hyperdisk confidencial en línea o de un volumen de Hyperdisk en línea que no está conectado a uno de los tipos de máquinas compatibles:

CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X

Para solucionar este problema, completa los siguientes pasos:

  1. Desconecta el disco
  2. Rota o cambia la CMEK con el método compute.disks.updateKmsKey
  3. Vuelve a conectar el disco

El disco ya usa la versión de clave de KMS principal

El siguiente mensaje de advertencia aparece cuando un disco o una instantánea estándar ya usan la versión de la clave primaria:

WARNING: Some requests generated warnings:
 - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.

En este caso, la llamada a la API se realizará correctamente, pero la versión de la clave no se actualizará.

Este problema puede deberse a una demora en la actualización de versiones del KMS. Para resolver este problema, vuelve a intentar rotar la clave más tarde.

Si la tarea falla, pero no ves el mensaje de error anterior, puedes rotar manualmente tu Cloud KMS siguiendo estos pasos:

  1. Rota la clave de Cloud KMS.
  2. Crea una instantánea del disco de arranque.
  3. Usa la instantánea nueva para crear un disco nuevo con la clave rotada en el paso anterior.
  4. Reemplaza el disco conectado a la VM que usa la clave de encriptación anterior.

Cuando creas el disco nuevo, este usa la versión de clave nueva para la encriptación. Las instantáneas que creas desde ese disco usan la última versión de la clave primaria.

Cuando rotas una clave con Cloud Key Management Service, los datos que se encriptaron con versiones de claves anteriores no se vuelven a encriptar de forma automática. Para obtener más información, consulta Vuelve a encriptar datos. La rotación de una clave no inhabilita ni destruye de forma automática una versión de clave existente.