このドキュメントでは、Spanner で顧客管理の暗号鍵(CMEK)とデータ所在地に関する組織のポリシー違反のトラブルシューティングを行う方法について説明します。データベース フリートのモニタリングに役立つように、データベース センターは次のヘルスチェックを使用して CMEK とデータ所在地に関する組織のポリシー違反を検出します。
「暗号化に関する組織のポリシーが満たされていません」という違反は、Spanner データベースの CMEK 組織のポリシーが満たされていないことを示します。
「ロケーションに関する組織のポリシーが満たされていません」という違反は、データベースが組織のポリシーで許可されていないリージョンにあることを示します。これは、許可されたリージョンでデータベースが作成された後、組織のポリシーでそのリージョンが禁止された場合に発生することがあります。
データベース センターでこの違反が表示された場合は、このドキュメントのトピックを使用して問題を解決します。データベース センターの詳細については、データベース センターの概要をご覧ください。
CMEK 違反のトラブルシューティング
データベース センターで Spanner データベースに対する「暗号化に関する組織のポリシーが満たされていません」という違反が発生した場合は、違反が発生したデータベースのバックアップから新しいデータベースを作成する必要があります。Spanner の CMEK の詳細については、CMEK の概要をご覧ください。Cloud Key Management Service の CMEK の詳細については、顧客管理の暗号鍵をご覧ください。バックアップから新しいデータベースを作成する手順は次のとおりです。
キーリングがない場合は、キーリングを作成するの手順に沿って鍵リングを作成します。
有効な顧客管理の暗号鍵がない場合は、鍵を作成するの手順に沿って鍵を作成します。
ポリシー違反のあるデータベースのバックアップを作成します。詳細については、バックアップを作成するをご覧ください。バックアップを作成するときに暗号鍵を使用できます。指定しない場合は、次の手順で暗号鍵を指定できます。
バックアップから復元するの手順に沿ってバックアップを復元します。復元されたデータベースを作成するときに、次のいずれかを選択します。
バックアップの作成時に CMEK 鍵を使用した場合は、[既存の暗号化を使用する] を選択します。
バックアップを暗号化しなかった場合は、[Cloud KMS 鍵] を選択します。
データ所在地違反のトラブルシューティング
データベース センターで Spanner データベースに対する「ロケーションに関する組織のポリシーが満たされていません」という違反が発生した場合は、データベースを許可されたリージョンにあるインスタンスに移動する必要があります。許可されたリージョンの詳細については、リソース ロケーションをご覧ください。
データベースを移動する手順は次のとおりです。
許可されたリージョンで使用可能なインスタンスがあることを確認します。使用可能なインスタンス構成のリストを表示するには、次の Google Cloud CLI コマンドを実行します。
gcloud spanner instance-configs list新しいインスタンスを作成する必要がある場合は、カスタム インスタンス構成を作成するをご覧ください。
gcloud spanner instances moveコマンドを使用して、データベースを新しいインスタンスに移動します。
リージョンにデータベースが作成されないようにするには、データベースの組織のポリシーを設定するときに、そのリージョンを denied_values リストに追加します。詳細については、組織のポリシーを設定するをご覧ください。