Fehlerbehebung bei CMEK- und Standardressourceneinstellungen für Cloud Logging

In diesem Dokument wird beschrieben, wie Sie häufige CMEK-Konfigurationsfehler finden und beheben können. Außerdem wird beschrieben, wie Sie Fehler identifizieren, die bei der Konfiguration von Standardressourceneinstellungen für Cloud Logging auftreten. Diese Einstellungen können für Organisationen und Ordner konfiguriert werden.

Probleme beim Festlegen des Standorts für neue, vom System erstellte Log-Buckets beheben

Sie versuchen, die Standardressourceneinstellungen für Cloud Logging für eine Organisation oder einen Ordner zu aktualisieren. Sie haben die Standorteinstellung entweder festgelegt oder geändert. Der Befehl schlägt jedoch mit einem Fehler wie dem folgenden fehl:

ERROR: (gcloud.logging.settings.update) INVALID_ARGUMENT: The KMS key location must match the storage location. Received KMS key location: us-central1, storage location: us-west1
- '@type': type.googleapis.com/google.rpc.DebugInfo
  detail: '[ORIGINAL ERROR] generic::invalid_argument: The KMS key location must match
    the storage location. Received KMS key location: us-central1, storage location:
    us-west1 [google.rpc.error_details_ext] { message: "The KMS key location must
    match the storage location. Received KMS key location: us-central1, storage location:
    us-west1" }'

Um diesen Fehler zu beheben, legen Sie den Standort in den Standardressourceneinstellungen auf den Standort des Cloud Key Management Service-Schlüssels fest.

Probleme mit VPC Service Controls und der domaineingeschränkten Freigabe beheben

Sie haben Ihre Standardressourceneinstellungen für Cloud Logging so konfiguriert, dass sie eine CMEK-Einstellung haben, oder Sie haben einen Log-Bucket mit aktiviertem CMEK erstellt. Anschließend konfigurieren Sie VPC Service Controls. Nachdem Sie VPC Service Controls konfiguriert haben, schränken Sie den Zugriff auf Cloud Key Management Service in VPC Service Controls ein oder aktivieren die domainbeschränkte Freigabe.

Mindestens eines der folgenden Ereignisse tritt ein:

  • Sie haben eine Benachrichtigung von Cloud Logging zu CMEK-Zugriffsproblemen erhalten.

  • Sie stellen fest, dass CMEK für die Log-Buckets _Default und _Required nicht aktiviert ist, wenn Sie neue Google Cloud Projekte in Ihrer Organisation oder in einem Ordner erstellen.

  • Sie erhalten Fehler, wenn Sie aus Log-Buckets mit aktivierter CMEK-Verschlüsselung lesen. Die angezeigten Fehler ähneln dem folgenden Fehler:

    ERROR: (gcloud.logging.read) FAILED_PRECONDITION: service account `cmek-PROJECT_ID@gcp-sa-logging.iam.gserviceaccount.com` must have both encrypt and decrypt access to the CMEK KMS key `projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY`

  • Beim Erstellen oder Aktualisieren von Log-Buckets mit aktiviertem CMEK treten Fehler auf. Die angezeigten Fehler ähneln dem folgenden Fehler:

    ERROR: (gcloud.logging.buckets.create) service account `cmek-PROJECT_ID@gcp-sa-logging.iam.gserviceaccount.com` must have both encrypt and decrypt access to the CMEK KMS key `projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY`
- '@type': type.googleapis.com/google.rpc.DebugInfo
  detail: '[ORIGINAL ERROR] generic::permission_denied: Request is prohibited by
  organization's policy. vpcServiceControlsUniqueIdentifier: <var>ERRORID</var>;'

So stellen Sie fest, ob diese Probleme auf die VPC Service Controls-Konfiguration zurückzuführen sind:

  1. Ermitteln Sie die Cloud Logging-Einstellungen für die Ressource, die die CMEK-Konfiguration enthält. Eine Ressource kann ein Projekt, ein Ordner oder eine Organisation sein. Wenn Sie Log-Buckets mit aktiviertem CMEK erstellt haben, wählen Sie die PROJECT-Ressource aus.

    PROJEKT 

    gcloud logging settings describe --project=PROJECT_ID

    Bevor Sie den Befehl ausführen, ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das den Log-Bucket enthält.

    FOLDER 

    gcloud logging settings describe --folder=FOLDER_ID

    Ersetzen Sie vor dem Ausführen des Befehls FOLDER_ID durch die ID des Ordners.

    ORGANIZATION 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Ersetzen Sie vor dem Ausführen des Befehls ORGANIZATION_ID durch die ID der Organisation.

    Der vorherige Befehl gibt Informationen aus, die in etwa so aussehen:

    kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

    Für Organisationen und Ordner wird auch das folgende Feld zurückgegeben:

    kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

    Der Wert des Felds kmsKeyName enthält das Google Cloud Projekt, in dem der Schlüssel gespeichert ist.

  2. Ermitteln Sie, ob Sie Dienstkonten migrieren müssen:

    • Wenn der Wert des Felds kmsServiceAccountId das Präfix service- hat, müssen Sie Ihr Dienstkonto nicht migrieren. Informationen zu CMEK-Konfigurationsfehlern finden Sie im Abschnitt CMEK-Fehlerbehebung in diesem Dokument.

    • Wenn der Wert von kmsServiceAccountId das Präfix cmek- hat, fahren Sie mit dem nächsten Schritt fort.

  3. Bestätigen Sie, dass Sie Dienstkonten migrieren müssen, indem Sie die domaineingeschränkte Freigabe deaktivieren oder Cloud Key Management Service aus der Liste der durch VPC Service Controls eingeschränkten Dienste entfernen.

    Wenn die Fehler behoben sind, müssen Sie die betroffenen Ressourcen zu einem neuen Dienstkonto migrieren, um die Fehler zu beheben. Informationen zu diesen Schritten finden Sie im nächsten Abschnitt.

CMEK-Dienstkonten migrieren

Im Folgenden wird beschrieben, wie Sie das Dienstkonto ändern, das Cloud Logging für den Zugriff auf konfigurierte Cloud Key Management Service-Schlüssel verwendet. Durch die Änderung des Dienstkontos wird ein bekanntes Problem mit VPC Service Controls und der domaineingeschränkten Freigabe behoben.

  1. Identifizieren Sie den loggingServiceAccountId für Ihre Ressource. Eine Ressource kann ein Projekt, ein Ordner oder eine Organisation sein. Wenn Sie Log-Buckets mit aktiviertem CMEK erstellt haben, wählen Sie die PROJECT-Ressource aus.

    PROJEKT 

    gcloud logging settings describe --project=PROJECT_ID

    Bevor Sie den Befehl ausführen, ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das den Log-Bucket enthält.

    FOLDER 

    gcloud logging settings describe --folder=FOLDER_ID

    Ersetzen Sie vor dem Ausführen des Befehls FOLDER_ID durch die ID des Ordners.

    ORGANIZATION 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Ersetzen Sie vor dem Ausführen des Befehls ORGANIZATION_ID durch die ID der Organisation.

    Der vorherige Befehl gibt Informationen aus, die in etwa so aussehen:

    kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

    Für Organisationen und Ordner wird auch das folgende Feld zurückgegeben:

    kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

    Der Wert des Felds kmsKeyName enthält das Google Cloud Projekt, in dem der Schlüssel gespeichert ist.

  2. Wenn Sie für Ihre Organisation oder für Ordner die Standardressourceneinstellungen für Cloud Logging mit CMEK-Einstellungen konfiguriert haben, gehen Sie so vor:

    1. Weisen Sie im KMS_PROJECT_ID dem Dienstkonto, das durch das Feld loggingServiceAccountId angegeben wird, die Rolle Cloud Key Management Service CryptoKey-Verschlüsseler/Entschlüsseler zu.

    2. Führen Sie den folgenden curl-Befehl aus, um das von der Ressource verwendete Cloud Key Management Service-Dienstkonto zu ändern.

      PROJEKT

      Nicht zutreffend.

      FOLDER 

      curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" -H "Content-Type: application/json; charset=utf-8" -d '{"kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"}' https://logging.googleapis.com/v2/folders/FOLDER_ID/settings?updateMask=kmsServiceAccountId

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie FOLDER_ID durch die ID des Ordners.
      • Ersetzen Sie SERVICE_ACCT_NAME durch die zuvor ermittelte loggingServiceAccountId.

      ORGANIZATION 

      curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" -H "Content-Type: application/json; charset=utf-8" -d '{"kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"}' https://logging.googleapis.com/v2/organizations/ORGANIZATION_ID/settings?updateMask=kmsServiceAccountId

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie ORGANIZATION_ID durch die ID der Organisation.
      • Ersetzen Sie SERVICE_ACCT_NAME durch die zuvor ermittelte loggingServiceAccountId.

      Das Ergebnis des vorherigen Befehls sieht in etwa so aus:

      {
  "name": ".../settings",
  "kmsKeyName": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY",
  "kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com",
  "storageLocation": "...",
  "loggingServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"
}

  3. Führen Sie für jedes Google Cloud Projekt oder jeden Ordner mit vorhandenen Log-Buckets, für die CMEK aktiviert ist, die folgenden Schritte aus:

    1. Führen Sie in dem Projekt oder Ordner für jeden Log-Bucket, für den CMEK aktiviert ist, die folgenden Schritte aus:

      1. Ermitteln Sie das Google Cloud -Projekt, in dem der Cloud Key Management Service-Schlüssel gespeichert ist:

        PROJEKT 

        gcloud logging buckets describe BUCKET_ID --location=LOCATION --project=PROJECT_ID

        Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

        • Ersetzen Sie PROJECT_ID durch die Projekt-ID, die den Log-Bucket enthält.
        • Ersetzen Sie LOCATION durch den Speicherort des Log-Buckets.

        FOLDER 

        gcloud logging buckets describe BUCKET_ID --location=LOCATION --folder=FOLDER_ID

        Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

        • Ersetzen Sie FOLDER_ID durch die ID des Ordners.
        • Ersetzen Sie LOCATION durch den Speicherort des Log-Buckets.

        Das Ergebnis des vorherigen Befehls sieht in etwa so aus:

        cmekSettings:
  kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
  kmsKeyVersionName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/1
  serviceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
createTime: '2022-10-31T12:00:00.0000000Z'
lifecycleState: ACTIVE
name: projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_ID
retentionDays: 30
createTime: '2022-10-31T13:00:00.0000000Z'

      2. Rufen Sie das Google Cloud Projekt auf, in dem sich der Cloud Key Management Service-Schlüssel befindet (KMS_PROJECT_ID), und weisen Sie dem Dienstkonto, das durch das Feld loggingServiceAccountId identifiziert wird, die Rolle Cloud Key Management Service CryptoKey-Verschlüsseler/Entschlüsseler zu.

    2. Führen Sie für das Projekt den folgenden curl-Befehl aus, um das Cloud Key Management Service-Dienstkonto zu ändern:

      PROJEKT 

      curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" -H "Content-Type: application/json; charset=utf-8" -d '{"kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"}' https://logging.googleapis.com/v2/projects/PROJECT_ID/settings?updateMask=kmsServiceAccountId

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie PROJECT_ID durch die Projekt-ID, die den Log-Bucket enthält.
      • Ersetzen Sie SERVICE_ACCT_NAME durch die zuvor ermittelte loggingServiceAccountId.

      FOLDER

      Es sind keine weiteren Maßnahmen erforderlich, da Sie das vom Ordner verwendete Cloud Key Management Service-Dienstkonto in einem vorherigen Schritt geändert haben.

      Das Ergebnis des vorherigen Befehls sieht in etwa so aus:

      {
  "name": ".../settings",
  "kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com",
  "loggingServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"
}

  4. Führen Sie für jeden Log-Bucket mit aktiviertem CMEK folgende Schritte aus:

    1. Cloud KMS-Schlüssel rotieren

    2. Bestätigen Sie die Migration. Die übergeordnete Ressource für den Log-Bucket bestimmt, welcher Google Cloud CLI-Befehl ausgeführt werden muss. Das übergeordnete Element kann ein Projekt, ein Ordner oder eine Organisation sein.

      PROJEKT 

      gcloud logging buckets describe BUCKET_ID --location=LOCATION --project=PROJECT_ID

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie PROJECT_ID durch die Projekt-ID, die den Log-Bucket enthält.
      • Ersetzen Sie LOCATION durch den Speicherort des Log-Buckets.

      FOLDER 

      gcloud logging buckets describe BUCKET_ID --location=LOCATION --folder=FOLDER_ID

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie FOLDER_ID durch die ID des Ordners.
      • Ersetzen Sie LOCATION durch den Speicherort des Log-Buckets.

      Für ein Projekt sieht das Ergebnis des vorherigen Befehls in etwa so aus:

      cmekSettings:
  kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
  kmsKeyVersionName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/1
  serviceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
createTime: '2022-10-31T12:00:00.0000000Z'
lifecycleState: ACTIVE
name: projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_ID
retentionDays: 30
createTime: '2022-10-31T13:00:00.0000000Z'

      Achten Sie darauf, dass serviceAccountId mit dem zuvor identifizierten loggingServiceAccountId übereinstimmt.

  5. Warten Sie mindestens 30 Minuten, bevor Sie die Berechtigungen für das vorherige Dienstkonto widerrufen. Wenn nach dem Entziehen der Berechtigungen für das vorherige Dienstkonto Probleme auftreten, stellen Sie die Berechtigungen wieder her und wenden Sie sich an den Cloud-Support.

Fehlerbehebung bei CMEK

Bei der Konfiguration von CMEK wird das Google Cloud -Projekt, das den Cloud KMS-Schlüssel enthält, über relevante Probleme benachrichtigt. Aktualisierungen schlagen beispielsweise fehl, wenn KMS_KEY_NAME ungültig ist, wenn das zugehörige Dienstkonto nicht die erforderliche Rolle Cloud Key Management Service CryptoKey-Ver-/Entschlüsseler hat oder wenn der Zugriff auf den Schlüssel deaktiviert ist.

Nachdem Sie CMEK konfiguriert haben, tritt mindestens eines der folgenden Ereignisse ein:

  • Sie haben eine Benachrichtigung von Cloud Logging zu CMEK-Zugriffsproblemen erhalten.

  • Sie stellen fest, dass CMEK für die Log-Buckets _Default und _Required nicht aktiviert ist, wenn Sie neue Google Cloud Projekte in Ihrer Organisation oder in einem Ordner erstellen.

  • Sie erhalten Fehler, wenn Sie Daten aus Log-Buckets mit aktiviertem CMEK lesen oder versuchen, Log-Buckets zu erstellen oder zu aktualisieren.

Die Benachrichtigung enthält Informationen zum Fehler und Maßnahmen, die Sie ergreifen können, um das Problem zu beheben:

Fehler Empfehlung
Berechtigung für kryptografischen Schlüssel verweigert

Dem mit Ihrem Google Cloud -Projekt verknüpfte Logging-Dienstkonto fehlen die erforderlichen IAM-Berechtigungen für den angegebenen Cloud KMS-Schlüssel. Folgen Sie der Anleitung in der Fehlermeldung oder lesen Sie die folgenden Dokumente:
Kryptografischer Schlüssel ist deaktiviert Der angegebene Cloud KMS-Schlüssel war deaktiviert. Folgen Sie der Anleitung in der Fehlermeldung, um den Schlüssel wieder zu aktivieren.
Kryptografischer Schlüssel wurde gelöscht

Der angegebene Cloud KMS-Schlüssel war gelöscht. Folgen Sie der Anleitung oder sehen Sie sich die folgenden Dokumente an:

Projekt mit dem Cloud KMS-Schlüssel ermitteln

So ermitteln Sie die ID des Google Cloud -Projekts, das den von einem Log-Bucket, Ordner oder einer Organisation verwendeten Verschlüsselungsschlüssel enthält:

PROJEKT 

gcloud logging settings describe --project=PROJECT_ID

Bevor Sie den Befehl ausführen, ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das den Log-Bucket enthält.

FOLDER 

gcloud logging settings describe --folder=FOLDER_ID

Ersetzen Sie vor dem Ausführen des Befehls FOLDER_ID durch die ID des Ordners.

ORGANIZATION 

gcloud logging settings describe --organization=ORGANIZATION_ID

Ersetzen Sie vor dem Ausführen des Befehls ORGANIZATION_ID durch die ID der Organisation.

Der vorherige Befehl gibt Informationen aus, die in etwa so aussehen:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

Für Organisationen und Ordner wird auch das folgende Feld zurückgegeben:

kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

Der Wert des Felds kmsKeyName enthält das Google Cloud Projekt, in dem der Schlüssel gespeichert ist.

Schlüssel auf Nutzbarkeit prüfen

Führen Sie folgenden Befehl zur Auflistung aller Schlüssel aus, um den Schlüssel auf Nutzbarkeit zu prüfen:

gcloud kms keys list \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING

Dieser Befehl gibt Informationen zu den einzelnen Schlüsseln in einem Tabellenformat zurück. Die erste Zeile der Ausgabe ist eine Liste an Spaltennamen:

NAME PURPOSE ...

Prüfen Sie, ob in der Befehlsausgabe Cloud KMS CryptoKey als ENABLED aufgeführt und als Schlüsselzweck die symmetrische Verschlüsselung angegeben ist: Die Spalte PURPOSE muss ENCRYPT_DECRYPT enthalten und die Spalte PRIMARY_STATE muss ENABLED enthalten.

Bei Bedarf können Sie einen neuen Schlüssel erstellen.

Berechtigungskonfiguration prüfen

Dienstkonten, die mit den CMEK-Einstellungen der Organisation verknüpft sind, müssen die Rolle Cloud KMS CryptoKey-Ver-/Entschlüsseler für den konfigurierten Schlüssel haben.

Führen Sie den folgenden Befehl aus, um die IAM-Richtlinie des Schlüssels abzurufen:

gcloud kms keys get-iam-policy KMS_KEY_NAME

Fügen Sie dem Schlüssel bei Bedarf das Dienstkonto hinzu, das die Rolle "Cloud KMS CryptoKey-Ver-/Entschlüsseler“ enthält.