פתרון בעיות שקשורות להפרות של מדיניות הארגון

במאמר הזה מוסבר איך לפתור בעיות שקשורות להפרות של מדיניות הארגון בנושא מפתחות הצפנה בניהול הלקוח (CMEK) ומיקום הנתונים ב-Spanner. כדי לעזור לכם לעקוב אחרי צי בסיסי הנתונים, Database Center מזהה הפרות של מדיניות הארגון בנושא CMEK ומיקום הנתונים באמצעות בדיקת התקינות הבאה:

  • הפרה מסוג Encryption org policy not satisfied מציינת שמדיניות הארגון לגבי CMEK במסד נתונים של Spanner לא מתקיימת.

  • הפרה מסוג Location org policy not satisfied מציינת שמסד נתונים נמצא באזור שאסור לפי מדיניות הארגון. זה יכול לקרות אם מסד נתונים נוצר באזור מותר, אבל אחרי שהוא נוצר, מדיניות ארגונית אסרה על האזור.

אם אתם רואים את ההפרות האלה ב-Database Center, תוכלו להיעזר בנושא שבמסמך הזה כדי לפתור את הבעיה. מידע נוסף על Database Center זמין במאמר סקירה כללית על Database Center.

פתרון בעיות שקשורות להפרות של CMEK

אם מתרחשת הפרה של מדיניות הארגון בנושא הצפנה לא מתקיימת במסד נתוני Spanner ב-Database Center, צריך ליצור מסד נתונים חדש מגיבוי של מסד הנתונים שבו התרחשה ההפרה. מידע נוסף על CMEK ב-Spanner זמין במאמר בנושא סקירה כללית על CMEK. מידע נוסף על CMEK ב-Cloud Key Management Service זמין במאמר מפתחות הצפנה בניהול הלקוח. כדי ליצור מסד נתונים חדש מגיבוי, פועלים לפי השלבים הבאים:

  1. אם אין לכם אוסף מפתחות, אתם יכולים ליצור אותו באמצעות השלבים שמפורטים במאמר בנושא יצירת אוסף מפתחות.

  2. אם אין לכם מפתח תקף לניהול הלקוח, אתם יכולים ליצור כזה באמצעות השלבים שמפורטים במאמר יצירת מפתח.

  3. יוצרים גיבוי של מסד הנתונים עם הפרת המדיניות. מידע נוסף זמין במאמר יצירת גיבוי. אפשר להשתמש במפתח הצפנה כשיוצרים את הגיבוי. אם לא, אפשר לציין מפתח הצפנה בשלב הבא.

  4. משחזרים את הגיבוי לפי השלבים במאמר שחזור מגיבוי. כשיוצרים את מסד הנתונים המשוחזר, בוחרים באחת מהאפשרויות הבאות:

    • אם השתמשתם במפתח CMEK כשיצרתם את הגיבוי, בוחרים באפשרות Use existing encryption (שימוש בהצפנה קיימת).

    • אם הגיבוי לא הוצפן, בוחרים באפשרות מפתח Cloud KMS.

פתרון בעיות שקשורות להפרות של מיקום האחסון של הנתונים

אם מתרחשת הפרה של מדיניות ארגונית לגבי מיקום שלא עומדת בדרישות במסד נתונים של Spanner ב-Database Center, צריך להעביר את מסד הנתונים למופע שנמצא באזור מותר. מידע נוסף על אזורים מותרים זמין במאמר מיקומי משאבים.

כדי להעביר מסד נתונים, פועלים לפי השלבים הבאים:

  1. מוודאים שיש לכם מופע זמין באזור מותר. כדי לראות רשימה של תצורות מכונות זמינות, מריצים את הפקודה הבאה ב-CLI של Google Cloud:

    gcloud spanner instance-configs list

    אם אתם צריכים ליצור מכונה חדשה, כדאי לעיין במאמר בנושא יצירת הגדרת מכונה בהתאמה אישית.

  2. משתמשים בפקודה gcloud spanner instances move כדי להעביר את מסד הנתונים למופע החדש.

כדי למנוע יצירה של מסד נתונים באזור מסוים, מוסיפים את האזור לרשימה denied_values כשמגדירים את מדיניות הארגון למסד הנתונים. למידע נוסף: הגדרת מדיניות הארגון.