Risolvere i problemi relativi a CMEK

Puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per proteggere Eventarc. Le chiavi vengono create e gestite tramite Cloud Key Management Service (Cloud KMS). La tabella seguente descrive diversi problemi relativi a CMEK e come risolverli quando utilizzi Cloud KMS con Eventarc.

Problemi che si verificano durante la creazione o l'aggiornamento delle risorse Eventarc

Problema CMEK Messaggio di errore Descrizione
Chiave disattivata $KEY is not enabled, current state is: DISABLED

La chiave Cloud KMS fornita è stata disabilitata per una risorsa Eventarc. Gli eventi o i messaggi associati alla risorsa non sono più protetti.

Soluzione:

  1. Visualizza la chiave utilizzata per un canale.
  2. Riattiva la chiave Cloud KMS.
Quota superata Quota exceeded for limit

Hai raggiunto il limite di quota per le richieste Cloud KMS.

Soluzione:

  • Limita il numero di chiamate Cloud KMS.
  • Aumenta la quota.
Per saperne di più, vedi Monitorare e modificare le quote di Cloud KMS.
Regione non corrispondente Key region $REGION must match the resource to be protected

La regione della chiave KMS fornita è diversa da quella del canale.

Soluzione:

Utilizza una chiave Cloud KMS della stessa regione. Tieni presente che per i canali nella regione multipla eu, devi proteggerli utilizzando una chiave Cloud KMS nella regione multipla europe. Per maggiori informazioni, consulta Località Cloud KMS e Eventarc multiregionale.

Vincolo delle policy dell'organizzazione project/PROJECT_ID violated org policy constraint

Eventarc è integrato con i seguenti due vincoli dei criteri dell'organizzazione per garantire l'utilizzo di CMEK in un'organizzazione. Qualsiasi risorsa Eventarc esistente non è soggetta a un criterio impostato dopo la creazione della risorsa; tuttavia, l'aggiornamento della risorsa potrebbe non riuscire.

  • constraints/gcp.restrictNonCmekServices fa sì che tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata non vadano a buon fine.

    Soluzione:

    Specifica una chiave Cloud KMS per la risorsa Eventarc. Per ulteriori informazioni, consulta Richiedere CMEK per le nuove risorse Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects limita le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa Eventarc.

    Soluzione:

    Utilizza una chiave Cloud KMS supportata per il progetto Eventarc. Per maggiori informazioni, consulta Limitare le chiavi Cloud KMS per un progetto Eventarc.

Problemi che si verificano durante la pubblicazione degli eventi

Problema CMEK Messaggio di errore Descrizione
Chiave disattivata $KEY is not enabled, current state is: DISABLED

La chiave Cloud KMS fornita è stata disabilitata per una risorsa Eventarc. Gli eventi o i messaggi associati alla risorsa non sono più protetti.

Soluzione:

  1. Visualizza la chiave utilizzata per un canale.
  2. Riattiva la chiave Cloud KMS.
Quota superata Quota exceeded for limit

Hai raggiunto il limite di quota per le richieste Cloud KMS.

Soluzione:

  • Limita il numero di chiamate Cloud KMS.
  • Aumenta la quota.
Per saperne di più, vedi Monitorare e modificare le quote Cloud KMS.
Errore di autorizzazione Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

La chiave Cloud KMS fornita non esiste o l'autorizzazione Identity and Access Management (IAM) non è configurata correttamente.

Soluzione:

Per risolvere i problemi che potresti riscontrare quando utilizzi chiavi gestite esternamente tramite Cloud External Key Manager (Cloud EKM), consulta Messaggio di errore Cloud EKM.

Passaggi successivi