Solucionar problemas de CMEK

Puedes usar claves de cifrado gestionadas por el cliente (CMEK) para proteger Eventarc. Las claves se crean y gestionan a través de Cloud Key Management Service (Cloud KMS). En la siguiente tabla se describen diferentes problemas de CMEK y cómo resolverlos al usar Cloud KMS con Eventarc.

Problemas que se producen al crear o actualizar recursos de Eventarc

Problema con la CMEK Mensaje de error Descripción
Clave inhabilitada $KEY is not enabled, current state is: DISABLED

La clave de Cloud KMS proporcionada se ha inhabilitado para un recurso de Eventarc. Los eventos o mensajes asociados al recurso ya no estarán protegidos.

Solución:

  1. Mostrar la clave utilizada para un canal.
  2. Vuelve a habilitar la clave de Cloud KMS.
Cuota superada Quota exceeded for limit

Se ha alcanzado el límite de cuota de solicitudes de Cloud KMS.

Solución:

  • Limita el número de llamadas a Cloud KMS.
  • Aumenta la cuota.
Para obtener más información, consulta el artículo sobre cómo monitorizar y ajustar las cuotas de Cloud KMS.
Región no coincidente Key region $REGION must match the resource to be protected

La región de la clave de KMS proporcionada es diferente de la región del canal.

Solución:

Usa una clave de Cloud KMS de la misma región. Ten en cuenta que, en el caso de los canales multirregionales eu, debes protegerlos con una clave de Cloud KMS multirregional europe. Para obtener más información, consulta las ubicaciones de Cloud KMS y las ubicaciones multirregión de Eventarc.

Restricción de política de organización project/PROJECT_ID violated org policy constraint

Eventarc se integra con las dos restricciones de política de organización siguientes para ayudar a garantizar el uso de CMEK en una organización. Los recursos de Eventarc que ya existan no están sujetos a una política que se haya definido después de crear el recurso. Sin embargo, es posible que no se pueda actualizar el recurso.

  • constraints/gcp.restrictNonCmekServices provoca que todas las solicitudes de creación de recursos sin una clave de Cloud KMS especificada fallen.

    Solución:

    Especifica una clave de Cloud KMS para el recurso de Eventarc. Para obtener más información, consulta Requerir CMEKs para los nuevos recursos de Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects restringe las claves de Cloud KMS que puedes usar para proteger un recurso de Eventarc.

    Solución:

    Usa una clave de Cloud KMS compatible con el proyecto de Eventarc. Para obtener más información, consulta Restringir claves de Cloud KMS para un proyecto de Eventarc.

Problemas que se producen durante la entrega de eventos

Problema con la CMEK Mensaje de error Descripción
Clave inhabilitada $KEY is not enabled, current state is: DISABLED

La clave de Cloud KMS proporcionada se ha inhabilitado para un recurso de Eventarc. Los eventos o mensajes asociados al recurso ya no estarán protegidos.

Solución:

  1. Mostrar la clave utilizada para un canal.
  2. Vuelve a habilitar la clave de Cloud KMS.
Cuota superada Quota exceeded for limit

Se ha alcanzado el límite de cuota de solicitudes de Cloud KMS.

Solución:

  • Limita el número de llamadas a Cloud KMS.
  • Aumenta la cuota.
Para obtener más información, consulta el artículo sobre cómo monitorizar y ajustar las cuotas de Cloud KMS.
Error de permisos Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

La clave de Cloud KMS proporcionada no existe o el permiso de gestión de identidades y accesos (IAM) no está configurado correctamente.

Solución:

Para resolver los problemas que puedan surgir al usar claves gestionadas de forma externa a través de Cloud External Key Manager (Cloud EKM), consulta la referencia de errores de Cloud EKM.

Siguientes pasos