CMEK-Probleme beheben

Sie können kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) verwenden um Eventarc zu schützen. Die Schlüssel werden über den Cloud Key Management Service (Cloud KMS) erstellt und verwaltet. In der folgenden Tabelle werden verschiedene CMEK-Probleme und ihre Lösungen bei der Verwendung von Cloud KMS mit Eventarc beschrieben.

Probleme beim Erstellen oder Aktualisieren von Eventarc-Ressourcen

CMEK-Problem Fehlermeldung Beschreibung
Deaktivierter Schlüssel $KEY is not enabled, current state is: DISABLED

Der angegebene Cloud KMS-Schlüssel wurde für eine Eventarc-Ressource deaktiviert. Ereignisse oder Nachrichten, die mit der Ressource verknüpft sind, sind nicht mehr geschützt.

Lösung :

  1. Schlüssel für einen Channel anzeigen.
  2. Cloud KMS-Schlüssel wieder aktivieren.
Kontingent überschritten Quota exceeded for limit

Ihr Kontingentlimit für Cloud KMS-Anfragen wurde erreicht.

Lösung :

  • Beschränken Sie die Anzahl der Cloud KMS-Aufrufe.
  • Kontingent erhöhen
Weitere Informationen finden Sie unter Cloud KMS-Kontingente beobachten und anpassen.
Falsche Region Key region $REGION must match the resource to be protected

Die angegebene KMS-Schlüsselregion unterscheidet sich von der Region des Channels.

Lösung :

Verwenden Sie einen Cloud KMS-Schlüssel aus derselben Region. Bei Channels in der Multiregion eu sollten Sie sie mit einem Cloud KMS-Schlüssel in der Multiregion europe schützen. Weitere Informationen finden Sie unter Cloud KMS-Standorte und Eventarc-Multiregionsstandorte.

Einschränkung der Organisationsrichtlinie project/PROJECT_ID violated org policy constraint

Eventarc ist in die folgenden beiden Einschränkungen für Organisationsrichtlinien eingebunden, um die CMEK-Nutzung in einer Organisation zu gewährleisten. Für vorhandene Eventarc-Ressourcen gilt keine Richtlinie, die nach dem Erstellen der Ressource festgelegt wird. Das Aktualisieren der Ressource kann jedoch fehlschlagen.

  • constraints/gcp.restrictNonCmekServices führt dazu, dass alle Anfragen zur Ressourcenerstellung ohne angegebenen Cloud KMS-Schlüssel fehlschlagen.

    Lösung :

    Geben Sie einen Cloud KMS-Schlüssel für die Eventarc Ressource an. Weitere Informationen finden Sie unter CMEKs für neue Eventarc-Ressourcen erforderlich machen.

  • constraints/gcp.restrictCmekCryptoKeyProjects beschränkt die Cloud KMS-Schlüssel, die Sie zum Schutz einer Eventarc-Ressource verwenden können.

    Lösung :

    Verwenden Sie einen unterstützten Cloud KMS-Schlüssel für das Eventarc Projekt. Weitere Informationen finden Sie unter Cloud KMS-Schlüssel für ein Eventarc-Projekt einschränken.

Probleme bei der Ereignisübermittlung

CMEK-Problem Fehlermeldung Beschreibung
Deaktivierter Schlüssel $KEY is not enabled, current state is: DISABLED

Der angegebene Cloud KMS-Schlüssel wurde für eine Eventarc-Ressource deaktiviert. Ereignisse oder Nachrichten, die mit der Ressource verknüpft sind, sind nicht mehr geschützt.

Lösung :

  1. Schlüssel für einen Channel anzeigen.
  2. Cloud KMS-Schlüssel wieder aktivieren.
Kontingent überschritten Quota exceeded for limit

Ihr Kontingentlimit für Cloud KMS-Anfragen wurde erreicht.

Lösung :

  • Beschränken Sie die Anzahl der Cloud KMS-Aufrufe.
  • Kontingent erhöhen
Weitere Informationen finden Sie unter Cloud KMS-Kontingente beobachten und anpassen.
Berechtigungsfehler Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

Entweder ist der angegebene Cloud KMS-Schlüssel nicht vorhanden oder die Berechtigung für Identity and Access Management (IAM) ist nicht ordnungsgemäß konfiguriert.

Lösung :

Informationen zur Behebung von Problemen, die bei der Verwendung extern verwalteter Schlüssel über Cloud External Key Manager (Cloud EKM) auftreten können, finden Sie unter Cloud EKM-Fehlerreferenz.

Nächste Schritte