本頁說明如何解決磁碟加密問題。
金鑰輪替錯誤
本節列出輪替客戶自行管理的加密金鑰 (CMEK) 時可能會遇到的錯誤,並提供修正建議。
非 CMEK 保護的磁碟不支援 CMEK 輪替
嘗試在不支援的資源上輪替 CMEK 時,會發生下列錯誤:
CMEK rotation is not supported for non-CMEK protected disks
如要解決這個問題,請確認資源受到 Cloud Key Management Service 保護。
部分 Google Cloud Hyperdisk 設定不支援 CMEK 輪替
嘗試輪替或變更線上機密 Hyperdisk 磁碟區的 CMEK,或是變更未附加至支援的機器類型的線上 Hyperdisk 磁碟區時,會出現下列錯誤訊息:
CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X
如要解決這個問題,請完成下列步驟:
- 卸載磁碟
- 使用
compute.disks.updateKmsKey方法輪替或變更 CMEK - 重新連接磁碟
磁碟已使用主要 KMS 金鑰版本
如果磁碟或標準快照已使用主要金鑰版本,系統會顯示下列警告訊息:
WARNING: Some requests generated warnings: - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.
在此情況下,API 呼叫會成功,但金鑰版本不會更新。
這個問題可能是因為 KMS 的版本更新延遲所致。如要解決這個問題,請稍後再試一次輪替金鑰。
如果工作失敗,但您沒有看到先前的錯誤訊息,可以按照下列步驟手動輪替 Cloud KMS:
- 輪替 Cloud KMS 金鑰。
- 建立加密磁碟的快照。
- 使用新的快照來建立新的磁碟,並使用上一步輪替的金鑰。
- 更換 VM 連接的磁碟,該磁碟使用舊的加密金鑰。
建立新磁碟時,系統會使用新金鑰版本進行加密。您透過該磁碟建立的所有快照都會使用最新的主要金鑰版本。
使用 Cloud Key Management Service 輪替金鑰時,系統不會自動重新加密以舊版金鑰加密的資料。詳情請參閱「重新加密資料」。輪替金鑰不會自動停用或刪除現有金鑰版本。