이 페이지에서는 디스크 암호화 문제를 해결하는 방법을 보여줍니다.
키 순환 오류
이 섹션에서는 고객 관리 암호화 키 (CMEK)를 순환할 때 발생할 수 있는 오류를 나열하고 이를 해결하는 방법을 제안합니다.
CMEK로 보호되지 않는 디스크에는 CMEK 순환이 지원되지 않습니다.
지원되지 않는 리소스에서 CMEK를 순환하려고 하면 다음 오류가 발생합니다.
CMEK rotation is not supported for non-CMEK protected disks
이 문제를 해결하려면 Cloud Key Management Service를 사용하여 리소스가 보호되는지 확인하세요.
일부 Google Cloud Hyperdisk 구성에서는 CMEK 순환이 지원되지 않음
온라인 컨피덴셜 Hyperdisk 볼륨 또는 지원되는 머신 유형 중 하나에 연결되지 않은 온라인 Hyperdisk 볼륨의 CMEK를 순환하거나 변경하려고 하면 다음 오류 메시지가 표시됩니다.
CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X
이 문제를 해결하려면 다음 단계를 완료하세요.
- 디스크 분리
compute.disks.updateKmsKey메서드를 사용하여 CMEK 순환 또는 변경- 디스크 다시 연결
디스크에서 이미 기본 KMS 키 버전을 사용하고 있습니다.
디스크 또는 표준 스냅샷이 이미 기본 키 버전을 사용하는 경우 다음 경고 메시지가 표시됩니다.
WARNING: Some requests generated warnings: - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.
이 시나리오에서는 API 호출이 성공하지만 키 버전은 업데이트되지 않습니다.
이 문제는 KMS의 버전 관리 업데이트가 지연되어 발생할 수 있습니다. 이 문제를 해결하려면 나중에 키 순환을 다시 시도하세요.
작업이 실패했지만 이전 오류 메시지가 표시되지 않으면 다음 단계에 따라 Cloud KMS를 수동으로 순환할 수 있습니다.
- Cloud KMS 키를 순환합니다.
- 암호화된 디스크의 스냅샷을 만듭니다.
- 새 스냅샷을 사용하여 이전 단계에서 순환된 키로 새 디스크를 만듭니다.
- 이전 암호화 키를 사용하는 VM에 연결된 디스크를 교체합니다.
새 디스크를 만들 때는 암호화를 위해 새 키 버전이 사용됩니다. 이 디스크에서 만드는 모든 스냅샷에는 최신 기본 키 버전이 사용됩니다.
Cloud Key Management Service를 사용하여 키를 순환해도 이전 키 버전으로 암호화된 데이터는 자동으로 다시 암호화되지 않습니다. 자세한 내용은 데이터 다시 암호화를 선택합니다. 키를 순환해도 기존 키 버전이 자동으로 사용 중지되거나 폐기되지는 않습니다.