Solução de problemas de criptografia de disco

Nesta página, mostramos como resolver problemas com a criptografia de disco.

Erros de rotação de chaves

Esta seção lista os erros que podem ocorrer ao girar uma chave de criptografia gerenciada pelo cliente (CMEK) e oferece sugestões de como corrigi-los.

A rotação de CMEK não é compatível com discos protegidos por não CMEK

O seguinte erro ocorre quando você tenta girar uma CMEK em um recurso não compatível:

CMEK rotation is not supported for non-CMEK protected disks

Para resolver esse problema, confirme se o recurso está protegido usando Cloud Key Management Service.

A rotação de CMEK não é compatível com algumas configurações do Google Cloud Hyperdisk

A seguinte mensagem de erro ocorre quando você tenta girar ou mudar a CMEK para um volume do Hyperdisk confidencial on-line ou um volume do Hyperdisk on-line que não está anexado a um dos tipos de máquina compatíveis:

CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X

Para resolver esse problema, siga estas etapas:

  1. Remover disco
  2. Gire ou mude a CMEK usando o compute.disks.updateKmsKey método
  3. Reanexar o disco

O disco já está usando a versão principal da chave do KMS

A seguinte mensagem de aviso ocorre quando um disco ou snapshot padrão já usa a versão chave primária:

WARNING: Some requests generated warnings:
 - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.

Nesse cenário, a chamada de API será bem-sucedida, mas a versão da chave não será atualizada.

Esse problema pode ocorrer devido a um atraso na atualização de controle de versões do KMS. Para resolver esse problema, tente girar a chave mais tarde.

Se a tarefa falhar, mas você não vir a mensagem de erro anterior, poderá girar manualmente o Cloud KMS seguindo estas etapas:

  1. Faça a rotação da chave do Cloud KMS.
  2. Crie um snapshot do disco de inicialização.
  3. Use o novo snapshot para criar um novo disco com a chave girada na etapa anterior.
  4. Substitua o disco anexado à VM que usa a chave de criptografia antiga.

Quando você cria o novo disco, ele usa a nova versão de chave para criptografia. Todos os snapshots criados com base nesse disco usam a versão mais recente da chave primária.

Quando você gira uma chave usando o Cloud Key Management Service, os dados criptografados com versões de chave anteriores não são recriptografados automaticamente. Para mais informações, consulte Como recriptografar dados. Girar uma chave não desativa ou destrói automaticamente uma versão atual dela.