Référence d'erreur Cloud EKM

Cette rubrique vous aide à interpréter et à résoudre les erreurs pouvant survenir lors de l'utilisation de Cloud External Key Manager (Cloud EKM).

Structure d'une erreur

La structure des messages d'erreur fournit le plus de précisions possibles pour vous aider à diagnostiquer et à résoudre le problème. Les erreurs sont renvoyées dans une structure google.rpc.Status. Au sein de cette structure :

  • Le champ google.rpc.Status.code indique la catégorie générale de l'erreur.
  • Le champ google.rpc.Status.message affiche un message humainement lisible, comprenant des détails sur l'action spécifique qui a été tentée et des suggestions dépendantes du contexte pour résoudre l'erreur.
  • Si le code d'état google.rpc.Status.code est FAILED_PRECONDITION, la structure google.rpc.PreconditionFailure est lisible par une machine. Il contient deux structures violation.

    • violation[0] contient des informations sur l'état de la clé Cloud EKM.
    • violation[1] contient des informations sur la tentative de contact du système partenaire de gestion des clés externes.

      Le violation[1].type contient des informations sur le type d'erreur. Cloud EKM fait référence à cette information comme étant le "domaine d'erreur".

      Si ces erreurs persistent, contactez l'assistance du partenaire de gestion des clés externes.

Dans ce document de référence, les messages de google.rpc.Status.message sont tronqués par souci de lisibilité. La partie tronquée inclut des informations telles que l'URI ou le chemin d'accès de la clé externe.

Dépannage

Les erreurs survenant lors de l'utilisation de Cloud EKM peuvent être causées par des problèmes avec les entrées, Cloud EKM, le système partenaire de gestion des clés externes, les communications entre ces derniers ou d'autres facteurs. Vous pouvez lire des informations de dépannage spécifiques dans la section dédiée à chaque type d'erreur.

Selon le type d'erreur, vous devrez peut-être contacter l'assistance Cloud EKM ou l'assistance du système partenaire de gestion des clés externes.

Si l'erreur que vous rencontrez n'est pas listée dans les tableaux ci-dessous, consultez Dépannage des erreurs EKM via VPC.

Erreurs d'entrée

Suivez les conseils de dépannage présents dans le champ google.rpc.Status.message de l'erreur. Si le problème persiste, contactez l'assistance Google Cloud.

Sauf indication contraire, les erreurs de cette section ont un code d'état google.rpc.Status.code dont la valeur est FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Domaine d'erreur)
Dépannage
Permission was denied when accessing the EKM_ELEMENT. EXTERNAL_PERMISSION_DENIED Lorsque EKM_ELEMENT est key, Cloud EKM désactive également la version de clé. Accordez les autorisations appropriées dans votre gestionnaire de clés externe, puis réessayez en effectuant une rotation de la clé Cloud EKM.
Lorsque EKM_ELEMENT est crypto space ou EKM host, attribuez le rôle ou les autorisations appropriés au compte de service, puis réessayez.
Could not find a EKM_ELEMENT ou Could not query EKM host. EXTERNAL_NOT_FOUND Lorsque EKM_ELEMENT est key, vérifiez que l'URI de la clé externe ou le chemin d'accès à la clé est correct.
Lorsque EKM_ELEMENT est crypto space, vérifiez que le chemin d'accès à l'espace crypto est correct.
Lorsqu'une EKM host ne peut pas être interrogée, vérifiez que le nom d'hôte de l'EKM est correct.
Si c'est le cas, contactez l'assistance du système partenaire externe de gestion des clés.
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID Vérifiez que l'URI de la clé dans cette requête est correct, puis réessayez en effectuant une rotation de la clé Cloud EKM.
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED Vérifiez que l'URI de la clé est correct. Si vous exploitez votre propre déploiement du système partenaire de gestion des clés externes, contactez l'assistance Google Cloud. Sinon, contactez l'assistance du système partenaire de gestion des clés externes.
Could not resolve the domain name for EKM_ELEMENT. DNS Vérifiez que l'URI de la clé, le chemin d'accès à la clé, l'espace de cryptographie ou le nom d'hôte de l'EKM sont corrects. Si c'est le cas, contactez l'assistance du système partenaire de gestion des clés externes.

Erreurs récupérables

Suivez les conseils de dépannage présents dans le champ google.rpc.Status.message de l'erreur. Si vous constatez des délais d'inactivité ou des erreurs réseau fréquents, assurez-vous que l'emplacement géographique de vos clés Cloud EKM est aussi proche que possible de la région que vous utilisez pour les clés externes. Si le problème persiste, contactez l'assistance du partenaire de gestion des clés externes.

Sauf indication contraire, les erreurs de cette section ont un code d'état google.rpc.Status.code dont la valeur est FAILED_PRECONDITION. EKM_ELEMENT peut être l'une des valeurs suivantes: key, crypto space ou EKM host.

google.rpc.Status.message violation[1].type
(Domaine d'erreur)
Throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach the EKM_ELEMENT due to an external networking error. UNREACHABLE_NETWORK
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. OVERLOADED_EKM
Timed out when trying to access the EKM_ELEMENT. TIMEOUT
Cette erreur se produit généralement lorsque l'EKM est trop lent pour répondre. Cette lenteur peut être imputable au fait que l'EKM reçoit plus de requêtes qu'il ne peut en gérer, ou encore à un temps de latence réseau trop élevé. REQUEST_CANCELLED

Erreurs du système de gestion des clés externes

Si vous rencontrez ces erreurs et qu'elles persistent, contactez l'assistance du partenaire de gestion des clés externes.

Sauf indication contraire, les erreurs de cette section ont un code d'état google.rpc.Status.code dont la valeur est FAILED_PRECONDITION. EKM_ELEMENT peut être l'une des valeurs suivantes: key, crypto space ou EKM host.

google.rpc.Status.message violation[1].type
(Domaine d'erreur)
Could not validate the TLS server certificate for the EKM_ELEMENT. TLS_CERT
Got garbled or unusable response when trying to access the EKM_ELEMENT. UNEXPECTED_RESPONSE
External server error when trying to access the EKM_ELEMENT. EXTERNAL_SERVER_ERROR
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_API peut être une valeur parmi : AsymmetricSign, CheckCryptoSpacePermissions, CreateKey, Decrypt, DestroyKey, Encrypt, GetInfo ou GetPublicKey
EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access the EKM_ELEMENT. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
Cela signifie que l'URI de la clé est valide, mais que le système partenaire de gestion des clés externes n'a pas réussi à déchiffrer le blob encapsulé ou les données authentifiées supplémentaires (AAD).
Le code d'état google.rpc.Status.code est INVALID_ARGUMENT.
DECRYPTION_FAILED

Assistance

Si vous rencontrez une erreur non présente dans cette documentation de référence, contactez l'assistance Google Cloud.