Memecahkan masalah enkripsi disk

Halaman ini menunjukkan cara menyelesaikan masalah terkait enkripsi disk.

Error rotasi kunci

Bagian ini mencantumkan error yang mungkin Anda alami saat merotasi kunci enkripsi yang dikelola pelanggan (CMEK) dan memberikan saran tentang cara memperbaikinya.

Rotasi CMEK tidak didukung untuk disk yang tidak dilindungi CMEK

Error berikut terjadi saat Anda mencoba merotasi CMEK pada resource yang tidak didukung:

CMEK rotation is not supported for non-CMEK protected disks

Untuk mengatasi masalah ini, pastikan resource Anda dilindungi menggunakan Cloud Key Management Service.

Rotasi CMEK tidak didukung untuk beberapa konfigurasi Google Cloud Hyperdisk

Pesan error berikut terjadi saat Anda mencoba merotasi atau mengubah CMEK untuk volume Confidential Hyperdisk online, atau volume Hyperdisk online yang tidak terpasang ke salah satu jenis mesin yang didukung:

CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X

Untuk mengatasi masalah ini, selesaikan langkah-langkah berikut:

  1. Lepaskan disk
  2. Memutar atau mengubah CMEK menggunakan metode compute.disks.updateKmsKey
  3. Pasang kembali disk

Disk sudah menggunakan versi kunci KMS utama

Pesan peringatan berikut terjadi saat disk atau snapshot standar sudah menggunakan versi kunci utama:

WARNING: Some requests generated warnings:
 - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.

Dalam skenario ini, panggilan API akan berhasil, tetapi versi kunci tidak akan diupdate.

Masalah ini mungkin terjadi karena keterlambatan dalam update versi dari KMS. Untuk mengatasi masalah ini, coba lagi merotasi kunci nanti.

Jika tugas gagal, tetapi Anda tidak melihat pesan error sebelumnya, Anda dapat memutar Cloud KMS secara manual menggunakan langkah-langkah berikut:

  1. Rotasi kunci Cloud KMS Anda.
  2. Buat snapshot disk terenkripsi.
  3. Gunakan snapshot baru untuk membuat disk baru dengan kunci yang dirotasi pada langkah sebelumnya.
  4. Ganti disk yang terpasang ke VM Anda yang menggunakan kunci enkripsi lama.

Saat Anda membuat disk baru, disk tersebut akan menggunakan versi kunci baru untuk enkripsi. Setiap snapshot yang Anda buat dari disk tersebut menggunakan versi kunci utama terbaru.

Saat Anda merotasi kunci menggunakan Cloud Key Management Service, data yang dienkripsi dengan versi kunci sebelumnya tidak akan otomatis dienkripsi ulang. Untuk mengetahui informasi selengkapnya, lihat Enkripsi ulang data. Memutar kunci tidak otomatis akan menonaktifkan atau menghancurkan versi kunci yang ada.