פתרון בעיות שקשורות ל-CMEK

אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) כדי להגן על Eventarc. המפתחות נוצרים ומנוהלים באמצעות Cloud Key Management Service ‏ (Cloud KMS). בטבלה הבאה מתוארות בעיות שונות ב-CMEK ומוסבר איך לפתור אותן כשמשתמשים ב-Cloud KMS עם Eventarc.

בעיות שמתרחשות כשיוצרים או מעדכנים משאבי Eventarc

בעיה ב-CMEK הודעת השגיאה תיאור
מפתח מושבת $KEY is not enabled, current state is: DISABLED

מפתח Cloud KMS שסופק הושבת עבור משאב Eventarc. אירועים או הודעות שמשויכים למשאב כבר לא מוגנים.

פתרון:

  1. הצגת המפתח שמשמש לערוץ.
  2. מפעילים מחדש את מפתח Cloud KMS.
חריגה מהמכסה Quota exceeded for limit

הגעת למגבלת המכסה של בקשות Cloud KMS.

פתרון:

  • הגבלת מספר הקריאות ל-Cloud KMS.
  • להגדיל את המכסה.
מידע נוסף זמין במאמר בנושא מעקב אחרי מכסות Cloud KMS ושינוי שלהן.
אזור לא תואם Key region $REGION must match the resource to be protected

האזור של מפתח ה-KMS שצוין שונה מהאזור של הערוץ.

פתרון:

שימוש במפתח Cloud KMS מאותו אזור. שימו לב: אם הערוץ נמצא במיקום שכולל מספר אזורים eu, צריך להגן עליו באמצעות מפתח Cloud KMS במיקום שכולל מספר אזורים europe. מידע נוסף זמין במאמרים מיקומים ב-Cloud KMS ומיקומים של Eventarc שכוללים מספר אזורים.

אילוץ של מדיניות הארגון project/PROJECT_ID violated org policy constraint

‫Eventarc משולב עם שני אילוצים של מדיניות הארגון כדי לוודא שנעשה שימוש ב-CMEK בכל הארגון. כל משאב Eventarc קיים לא כפוף למדיניות שמוגדרת אחרי שהמשאב נוצר. עם זאת, יכול להיות שעדכון המשאב ייכשל.

  • constraints/gcp.restrictNonCmekServices גורם לכך שכל הבקשות ליצירת משאבים ללא מפתח Cloud KMS שצוין ייכשלו.

    פתרון:

    מציינים מפתח Cloud KMS למשאב Eventarc. מידע נוסף זמין במאמר דרישת CMEK למשאבי Eventarc חדשים.

  • constraints/gcp.restrictCmekCryptoKeyProjects מגביל את מפתחות Cloud KMS שבהם אפשר להשתמש כדי להגן על משאב Eventarc.

    פתרון:

    משתמשים במפתח Cloud KMS נתמך לפרויקט Eventarc. מידע נוסף זמין במאמר הגבלת מפתחות Cloud KMS לפרויקט Eventarc.

בעיות שמתרחשות במהלך העברת אירועים

בעיה ב-CMEK הודעת השגיאה תיאור
מפתח מושבת $KEY is not enabled, current state is: DISABLED

מפתח Cloud KMS שסופק הושבת עבור משאב Eventarc. אירועים או הודעות שמשויכים למשאב כבר לא מוגנים.

פתרון:

  1. הצגת המפתח שמשמש לערוץ.
  2. מפעילים מחדש את מפתח Cloud KMS.
חריגה מהמכסה Quota exceeded for limit

הגעת למגבלת המכסה של בקשות Cloud KMS.

פתרון:

  • הגבלת מספר הקריאות ל-Cloud KMS.
  • להגדיל את המכסה.
מידע נוסף זמין במאמר בנושא מעקב אחרי מכסות Cloud KMS ושינוי שלהן.
שגיאת הרשאה Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

מפתח Cloud KMS שסופק לא קיים או שההרשאה לניהול זהויות והרשאות גישה (IAM) לא מוגדרת כמו שצריך.

פתרון:

כדי לפתור בעיות שאתם עשויים להיתקל בהן כשאתם משתמשים במפתחות שמנוהלים באופן חיצוני דרך Cloud External Key Manager ‏ (Cloud EKM), תוכלו לעיין במאמר הפניה לשגיאות ב-Cloud EKM.

המאמרים הבאים