Cette page vous explique comment résoudre les problèmes liés au chiffrement de disque.
Erreurs de rotation des clés
Cette section liste les erreurs que vous pouvez rencontrer lors de la rotation d'une clé de chiffrement gérée par le client (CMEK) et fournit des suggestions pour les résoudre.
La rotation des clés CMEK n'est pas compatible avec les disques non protégés par une clé CMEK
L'erreur suivante se produit lorsque vous essayez de faire pivoter une clé CMEK sur une ressource non compatible :
CMEK rotation is not supported for non-CMEK protected disks
Pour résoudre ce problème, vérifiez que votre ressource est protégée à l'aide de Cloud Key Management Service.
La rotation des clés CMEK n'est pas compatible avec certaines configurations Google Cloud Hyperdisk
Le message d'erreur suivant s'affiche lorsque vous essayez de faire pivoter ou de modifier la clé CMEK pour un volume Confidential Hyperdisk en ligne ou un volume Hyperdisk en ligne qui n'est pas associé à l'un des types de machines compatibles :
CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X
Pour contourner ce problème, procédez comme suit :
- Dissociez le disque.
- Faites pivoter ou modifiez la clé CMEK à l'aide de la méthode
compute.disks.updateKmsKey - Réassociez le disque.
Le disque utilise déjà la version de clé KMS principale
Le message d'avertissement suivant s'affiche lorsqu'un disque ou un instantané standard utilise déjà la version de clé principale :
WARNING: Some requests generated warnings: - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.
Dans ce cas, l'appel d'API réussit, mais la version de clé n'est pas mise à jour.
Ce problème peut être dû à un délai dans la mise à jour du contrôle des versions à partir de KMS. Pour résoudre ce problème, réessayez de faire pivoter la clé ultérieurement.
Si la tâche échoue, mais que le message d'erreur précédent ne s'affiche pas, vous pouvez faire pivoter manuellement votre clé Cloud KMS en procédant comme suit :
- Effectuez une rotation de votre clé Cloud KMS.
- Créez un instantané du disque chiffré.
- Utilisez le nouvel instantané pour créer un disque avec la clé ayant subi la rotation à l'étape précédente.
- Remplacez le disque associé à votre VM qui utilise l'ancienne clé de chiffrement.
Lorsque vous créez le disque, il utilise la nouvelle version de clé pour le chiffrement. Tous les instantanés que vous créez à partir de ce disque utilisent la dernière version de clé primaire.
Lorsque vous faites pivoter une clé à l'aide de Cloud Key Management Service, les données chiffrées avec les versions de clé précédentes ne sont pas automatiquement rechiffrées. Pour en savoir plus, consultez la page Rechiffrer des données. La rotation d'une clé n'entraîne ni la désactivation ni la destruction automatique d'une version de clé existante.