Solucionar problemas de infracciones de las políticas de organización

En este documento se describe cómo solucionar problemas relacionados con infracciones de la política de organización de la residencia de datos y de la clave de cifrado gestionada por el cliente (CMEK) en Spanner. Para ayudarte a monitorizar tu flota de bases de datos, Database Center detecta infracciones de las políticas de CMEK y de organización de la residencia de datos mediante la siguiente comprobación de estado:

  • Una infracción de la política de organización de cifrado indica que no se cumple una política de organización de CMEK en una base de datos de Spanner.

  • Una infracción de Política de organización de ubicación no satisfecha indica que una base de datos se encuentra en una región que no está permitida por una política de la organización. Esto puede ocurrir cuando se crea una base de datos en una región permitida, pero después de crearla, una política de la organización no permite esa región.

Si ve estas infracciones en el Centro de Datos, consulte el tema de este documento para solucionar el problema. Para obtener más información sobre Database Center, consulta el resumen de Database Center.

Solucionar problemas de infracciones de CMEK

Si se produce una infracción de la política de organización Encryption not satisfied en una base de datos de Spanner en el Centro de bases de datos, debe crear una base de datos a partir de una copia de seguridad de la base de datos en la que se haya producido la infracción. Para obtener más información sobre las claves de cifrado gestionadas por el cliente en Spanner, consulta la descripción general de las claves de cifrado gestionadas por el cliente. Para obtener más información sobre las CMEK en Cloud Key Management Service, consulta el artículo Claves de cifrado gestionadas por el cliente. Para crear una base de datos a partir de una copia de seguridad, sigue estos pasos:

  1. Si no tienes un conjunto de claves, crea uno siguiendo los pasos que se indican en Crear un conjunto de claves.

  2. Si no tienes una clave gestionada por el cliente válida, crea una siguiendo los pasos que se indican en Crear una clave.

  3. Crea una copia de seguridad de la base de datos con la infracción de las políticas. Para obtener más información, consulta el artículo Crear una copia de seguridad. Puedes usar una clave de cifrado al crear la copia de seguridad. Si no lo haces, puedes especificar una clave de cifrado en el siguiente paso.

  4. Restaura la copia de seguridad siguiendo los pasos que se indican en Restaurar a partir de una copia de seguridad. Elige una de las siguientes opciones al crear la base de datos restaurada:

    • Si usaste una clave CMEK al crear la copia de seguridad, elige Usar encriptado actual.

    • Si no has encriptado la copia de seguridad, elige Clave de Cloud KMS.

Solucionar problemas de incumplimiento de la residencia de datos

Si se produce una infracción de Location org policy not satisfied (No se cumple la política de ubicación de la organización) en una base de datos de Spanner en el Centro de bases de datos, debes mover la base de datos a una instancia que se encuentre en una región permitida. Para obtener más información sobre las regiones permitidas, consulta Ubicaciones de recursos.

Para mover una base de datos, sigue estos pasos:

  1. Asegúrate de que tienes una instancia disponible en una región permitida. Para ver una lista de las configuraciones de instancia disponibles, ejecuta el siguiente comando de la CLI de Google Cloud:

    gcloud spanner instance-configs list

    Si necesitas crear una instancia, consulta Crear una configuración de instancia personalizada.

  2. Usa el comando gcloud spanner instances move para mover la base de datos a la nueva instancia.

Para evitar que se cree una base de datos en una región, añádela a la lista denied_values cuando definas la política de la organización para la base de datos. Para obtener más información, consulta Definir la política de la organización.