このページでは、ディスク暗号化に関する問題を解決する方法について説明します。
鍵のローテーション エラー
このセクションでは、顧客管理の暗号鍵(CMEK)をローテーションするときに発生する可能性のあるエラーと、その修正方法について説明します。
CMEK で保護されていないディスクでは CMEK のローテーションは対象外です
サポートされていないリソースで CMEK をローテーションしようとすると、次のエラーが発生します。
CMEK rotation is not supported for non-CMEK protected disks
この問題を解決するには、リソースが Cloud Key Management Service を使用して保護されていることを確認します。
一部の Google Cloud Hyperdisk 構成では CMEK のローテーションはサポートされていません
オンラインの Confidential Hyperdisk ボリューム、またはサポートされているマシンタイプのいずれにもアタッチされていないオンラインの Hyperdisk ボリュームの CMEK をローテーションまたは変更しようとすると、次のエラー メッセージが表示されます。
CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X
この問題を回避するには、次の操作を行います。
- ディスクを切断する
compute.disks.updateKmsKeyメソッドを使用して CMEK をローテーションまたは変更する- ディスクを再アタッチする
ディスクですでにプライマリ KMS 鍵バージョンが使用されている
ディスクまたは標準スナップショットがすでに主キー バージョンを使用している場合、次の警告メッセージが表示されます。
WARNING: Some requests generated warnings: - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.
このシナリオでは、API 呼び出しは成功しますが、鍵バージョンは更新されません。
この問題は、KMS からのバージョニング更新の遅延が原因で発生する可能性があります。この問題を解決するには、後で鍵のローテーションを再試行してください。
タスクが失敗しても上記のエラー メッセージが表示されない場合は、次の手順で Cloud KMS を手動でローテーションできます。
- Cloud KMS 鍵をローテーションします。
- 暗号化されたディスクのスナップショットを作成します。
- 新しいスナップショットを使用して、前の手順でローテーションした鍵で新しいディスクを作成します。
- 古い暗号鍵を使用している VM にアタッチされているディスクを交換します。
新しいディスクを作成すると、新しい鍵バージョンが暗号化に使用されます。そのディスクから作成するスナップショットでは、最新の主キーのバージョンが使用されます。
Cloud Key Management Service を使用して鍵をローテーションする場合、以前の鍵バージョンで暗号化されたデータは自動的に再暗号化されません。詳細については、データの再暗号化をご覧ください。鍵をローテーションしても、既存の鍵バージョンが自動的に無効化または破棄されることはありません。