本文档介绍了如何排查 Spanner 中客户管理的加密密钥 (CMEK) 和数据驻留组织政策违规问题。为了帮助您监控数据库舰队,Database Center 会使用以下健康检查来检测 CMEK 和数据驻留组织政策违规:
“不符合加密组织政策”违规表示未满足 Spanner 数据库中的 CMEK 组织政策。
“不符合位置组织政策”违规表示数据库位于组织政策不允许的区域。如果数据库是在允许的区域中创建的,但在创建数据库后,组织政策禁止了该区域,则可能会发生这种情况。
如果您在 Database Center 内看到此违规,请使用本文档中的主题来解决相应问题。如需详细了解 Database Center,请参阅 Database Center 概览。
排查 CMEK 违规问题
如果 Database Center 内出现 Spanner 数据库的“不符合加密组织政策”违规,您需要通过发生违规的数据库的备份创建新数据库。如需详细了解 Spanner 中的 CMEK,请参阅 CMEK 概览。如需详细了解 Cloud Key Management Service 中的 CMEK,请参阅客户管理的加密密钥。如需通过备份创建新数据库,请按以下步骤操作:
如果您没有密钥环,请按照创建密钥环中的步骤创建一个。
如果您没有有效的客户管理的密钥,请按照创建密钥中的步骤创建一个。
创建存在政策违规的数据库的备份。如需了解详情,请参阅创建备份。您可以在创建备份时使用加密密钥。如果您不这样做,则可以在下一步中指定加密密钥。
按照使用备份进行恢复中的步骤恢复备份。创建恢复的数据库时,请选择以下选项之一:
如果您在创建备份时使用了 CMEK 密钥,请选择使用现有加密配置。
如果您未加密备份,请选择 Cloud KMS 密钥。
排查数据驻留违规问题
如果 Database Center 内出现 Spanner 数据库的“不符合位置组织政策”违规,您需要将该数据库迁移到允许的区域中的实例。如需详细了解允许的区域,请参阅资源位置。
如需迁移数据库,请按以下步骤操作:
确保您在允许的区域中拥有可用的实例。如需查看可用实例配置的列表,请运行以下 Google Cloud CLI 命令:
gcloud spanner instance-configs list如果您需要创建新实例,请参阅创建自定义实例配置。
使用
gcloud spanner instances move命令将数据库迁移到新实例。
如需防止在某个区域中创建数据库,请在为数据库设置组织政策时将该区域添加到 denied_values 列表中。如需了解详情,请参阅设置组织政策。