Resolver problemas do CMEK

É possível usar chaves de criptografia gerenciadas pelo cliente (CMEK) para proteger o Eventarc. As chaves são criadas e gerenciadas pelo Cloud Key Management Service (Cloud KMS). A tabela a seguir descreve diferentes problemas de CMEK e como resolvê-los ao usar o Cloud KMS com o Eventarc.

Problemas que ocorrem ao criar ou atualizar recursos do Eventarc

Problema com a CMEK Mensagem de erro Descrição
Chave desativada $KEY is not enabled, current state is: DISABLED

A chave do Cloud KMS fornecida foi desativada para um recurso do Eventarc. Os eventos ou mensagens associados ao recurso não são mais protegidos.

Solução:

  1. Mostrar a chave usada para um canal.
  2. Reative a chave do Cloud KMS.
Cota excedida Quota exceeded for limit

Seu limite de cota para solicitações do Cloud KMS foi atingido.

Solução:

  • Limite o número de chamadas do Cloud KMS.
  • Aumente a cota.
Para mais informações, consulte Monitorar e ajustar as cotas do Cloud KMS.
Região incompatível Key region $REGION must match the resource to be protected

A região da chave do KMS fornecida é diferente da região do canal.

Solução:

Use uma chave do Cloud KMS da mesma região. Para canais na multirregião eu, é necessário proteger usando uma chave do Cloud KMS na multirregião europe. Para mais informações, consulte os locais do Cloud KMS e multirregionais do Eventarc.

Restrição da política da organização project/PROJECT_ID violated org policy constraint

O Eventarc é integrado às duas restrições de política da organização a seguir para ajudar a garantir o uso do CMEK em uma organização. Nenhum recurso do Eventarc existente está sujeito a uma política definida após a criação do recurso. No entanto, a atualização do recurso pode falhar.

  • constraints/gcp.restrictNonCmekServices faz com que todas as solicitações de criação de recursos sem uma chave especificada do Cloud KMS falhem.

    Solução:

    Especifique uma chave do Cloud KMS para o recurso do Eventarc. Para mais informações, consulte Exigir CMEKs para novos recursos do Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects restringe as chaves do Cloud KMS que podem ser usadas para proteger um recurso do Eventarc.

    Solução:

    Use uma chave do Cloud KMS com suporte para o projeto do Eventarc. Para mais informações, consulte Restringir chaves do Cloud KMS para um projeto do Eventarc.

Problemas que ocorrem durante a entrega do evento

Problema com a CMEK Mensagem de erro Descrição
Chave desativada $KEY is not enabled, current state is: DISABLED

A chave do Cloud KMS fornecida foi desativada para um recurso do Eventarc. Os eventos ou mensagens associados ao recurso não são mais protegidos.

Solução:

  1. Mostrar a chave usada para um canal.
  2. Reative a chave do Cloud KMS.
Cota excedida Quota exceeded for limit

Seu limite de cota para solicitações do Cloud KMS foi atingido.

Solução:

  • Limite o número de chamadas do Cloud KMS.
  • Aumente a cota.
Para mais informações, consulte Monitorar e ajustar as cotas do Cloud KMS.
Erro de permissão Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

A chave do Cloud KMS fornecida não existe ou a permissão de gerenciamento de identidade e acesso (IAM) não está configurada corretamente.

Solução:

Para resolver problemas que podem ser encontrados ao usar chaves gerenciadas externamente por meio do Cloud External Key Manager (Cloud EKM), consulte a Referência de erros do Cloud EKM.

A seguir