Risolvere i problemi relativi a CMEK

Puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per proteggere Eventarc. Le chiavi vengono create e gestite tramite Cloud Key Management Service (Cloud KMS). La tabella seguente descrive i diversi problemi di CMEK e come risolverli quando utilizzi Cloud KMS con Eventarc.

Problemi che si verificano durante la creazione o l'aggiornamento delle risorse Eventarc

Problema di CMEK Messaggio di errore Descrizione
Chiave disattivata $KEY is not enabled, current state is: DISABLED

La chiave Cloud KMS fornita è stata disattivata per una risorsa Eventarc. Gli eventi o i messaggi associati alla risorsa non sono più protetti.

Soluzione:

  1. Visualizza la chiave utilizzata per un canale.
  2. Riattiva la chiave Cloud KMS.
Quota superata Quota exceeded for limit

È stato raggiunto il limite di quota per le richieste Cloud KMS.

Soluzione:

  • Limita il numero di chiamate Cloud KMS.
  • Aumenta la quota.
Per saperne di più, consulta Monitorare e modificare le quote di Cloud KMS.
Regione non corrispondente Key region $REGION must match the resource to be protected

La regione della chiave KMS fornita è diversa dalla regione del canale.

Soluzione:

Utilizza una chiave Cloud KMS della stessa regione. Tieni presente che per i canali nella regione eu multiregionale, devi proteggere li utilizzando una chiave Cloud KMS nella regione europe multiregionale. Per saperne di più, consulta Località Cloud KMS e località multiregionali di Eventarc.

Vincolo delle policy dell'organizzazione project/PROJECT_ID violated org policy constraint

Eventarc è integrato con i seguenti due vincoli delle policy dell'organizzazione per garantire l'utilizzo di CMEK in un' organizzazione. Qualsiasi risorsa Eventarc esistente non è soggetta a una policy impostata dopo la creazione della risorsa; tuttavia, l'aggiornamento della risorsa potrebbe non riuscire.

  • constraints/gcp.restrictNonCmekServices fa sì che tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata non vadano a buon fine.

    Soluzione:

    Specifica una chiave Cloud KMS per la risorsa Eventarc. Per saperne di più, consulta Richiedere CMEK per le nuove risorse Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects limita le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa Eventarc.

    Soluzione:

    Utilizza una chiave Cloud KMS supportata per il progetto Eventarc. Per saperne di più, consulta Limitare le chiavi Cloud KMS per un progetto Eventarc.

Problemi che si verificano durante la consegna degli eventi

Problema di CMEK Messaggio di errore Descrizione
Chiave disattivata $KEY is not enabled, current state is: DISABLED

La chiave Cloud KMS fornita è stata disattivata per una risorsa Eventarc. Gli eventi o i messaggi associati alla risorsa non sono più protetti.

Soluzione:

  1. Visualizza la chiave utilizzata per un canale.
  2. Riattiva la chiave Cloud KMS.
Quota superata Quota exceeded for limit

È stato raggiunto il limite di quota per le richieste Cloud KMS.

Soluzione:

  • Limita il numero di chiamate Cloud KMS.
  • Aumenta la quota.
Per saperne di più, consulta Monitorare e modificare le quote di Cloud KMS.
Errore di autorizzazione Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

La chiave Cloud KMS fornita non esiste o l' autorizzazione Identity and Access Management (IAM) non è configurata correttamente.

Soluzione:

Per risolvere i problemi che potresti riscontrare quando utilizzi le chiavi gestite esternamente tramite Cloud External Key Manager (Cloud EKM), consulta la documentazione di riferimento sugli errori di Cloud EKM .

Passaggi successivi