Risoluzione dei problemi relativi alla crittografia del disco

Questa pagina mostra come risolvere i problemi relativi alla crittografia del disco.

Errori di rotazione della chiave

Questa sezione elenca gli errori che potresti riscontrare durante la rotazione di una chiave di crittografia gestita dal cliente (CMEK) e fornisce suggerimenti su come risolverli.

La rotazione di CMEK non è supportata per i dischi non protetti da CMEK

Il seguente errore si verifica quando provi a ruotare una chiave CMEK su una risorsa non supportata:

CMEK rotation is not supported for non-CMEK protected disks

Per risolvere il problema, verifica che la risorsa sia protetta utilizzando Cloud Key Management Service.

La rotazione CMEK non è supportata per alcune configurazioni di Google Cloud Hyperdisk

Il seguente messaggio di errore si verifica quando tenti di ruotare o modificare la chiave CMEK per un volume Hyperdisk confidenziale online o un volume Hyperdisk online non collegato a uno dei tipi di macchine supportati:

CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X

Per risolvere il problema, completa i seguenti passaggi:

  1. Scollega il disco
  2. Ruotare o modificare la chiave CMEK utilizzando il metodo compute.disks.updateKmsKey
  3. Ricollega il disco

Il disco utilizza già la versione principale della chiave KMS

Il seguente messaggio di avviso viene visualizzato quando un disco o uno snapshot standard utilizza già la versione della chiave primaria:

WARNING: Some requests generated warnings:
 - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.

In questo scenario, la chiamata API riuscirà, ma la versione della chiave non verrà aggiornata.

Questo problema potrebbe verificarsi a causa di un ritardo nell'aggiornamento del controllo delle versioni da parte di KMS. Per risolvere il problema, riprova a ruotare la chiave in un secondo momento.

Se l'attività non riesce, ma non visualizzi il messaggio di errore precedente, puoi ruotare manualmente Cloud KMS seguendo questi passaggi:

  1. Ruota la chiave Cloud KMS.
  2. Crea uno snapshot del disco criptato.
  3. Utilizza il nuovo snapshot per creare un nuovo disco con la chiave ruotata nel passaggio precedente.
  4. Sostituisci il disco collegato alla VM che utilizza la vecchia chiave di crittografia.

Quando crei il nuovo disco, utilizza la nuova versione della chiave per la crittografia. Tutti gli snapshot creati da questo disco utilizzano l'ultima versione della chiave primaria.

Quando ruoti una chiave utilizzando Cloud Key Management Service, i dati criptati con le versioni precedenti della chiave non vengono criptati nuovamente in modo automatico. Per saperne di più, vedi Ricrittografia dei dati. La rotazione di una chiave non disattivaelimina automaticamente una versione della chiave esistente.