Resolva problemas de CMEK

Pode usar chaves de encriptação geridas pelo cliente (CMEK) para proteger o Eventarc. As chaves são criadas e geridas através do Cloud Key Management Service (Cloud KMS). A tabela seguinte descreve diferentes problemas de CMEK e como resolvê-los quando usa o Cloud KMS com o Eventarc.

Problemas que ocorrem ao criar ou atualizar recursos do Eventarc

Problema de CMEK Mensagem de erro Descrição
Chave desativada $KEY is not enabled, current state is: DISABLED

A chave do Cloud KMS fornecida foi desativada para um recurso do Eventarc. Os eventos ou as mensagens associados ao recurso deixam de estar protegidos.

Solução:

  1. Apresentar a chave usada para um canal.
  2. Reative a chave do Cloud KMS.
Quota excedida Quota exceeded for limit

Atingiu o limite da quota de pedidos do Cloud KMS.

Solução:

  • Limite o número de chamadas do Cloud KMS.
  • Aumente a quota.
Para mais informações, consulte o artigo Monitorize e ajuste as quotas do Cloud KMS.
Região sem correspondência Key region $REGION must match the resource to be protected

A região da chave do KMS fornecida é diferente da região do canal.

Solução:

Use uma chave do Cloud KMS da mesma região. Tenha em atenção que, para canais em várias regiões eu, deve protegê-los com uma chave do Cloud KMS em várias regiões europe. Para mais informações, consulte Localizações do Cloud KMS e localizações multirregionais do Eventarc.

Restrição da política da organização project/PROJECT_ID violated org policy constraint

O Eventarc está integrado com as seguintes duas restrições da política da organização para ajudar a garantir a utilização das CMEK numa organização. Qualquer recurso do Eventarc existente não está sujeito a uma política definida após a criação do recurso. No entanto, a atualização do recurso pode falhar.

  • constraints/gcp.restrictNonCmekServices faz com que todos os pedidos de criação de recursos sem uma chave do Cloud KMS especificada falhem.

    Solução:

    Especifique uma chave do Cloud KMS para o recurso Eventarc. Para mais informações, consulte o artigo Exija CMEKs para novos recursos do Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects restringe as chaves do Cloud KMS que pode usar para proteger um recurso do Eventarc.

    Solução:

    Use uma chave do Cloud KMS suportada para o projeto do Eventarc. Para mais informações, consulte o artigo Restrinja as chaves do Cloud KMS para um projeto do Eventarc.

Problemas que ocorrem durante o envio de eventos

Problema de CMEK Mensagem de erro Descrição
Chave desativada $KEY is not enabled, current state is: DISABLED

A chave do Cloud KMS fornecida foi desativada para um recurso do Eventarc. Os eventos ou as mensagens associados ao recurso deixam de estar protegidos.

Solução:

  1. Apresentar a chave usada para um canal.
  2. Reative a chave do Cloud KMS.
Quota excedida Quota exceeded for limit

Atingiu o limite da quota de pedidos do Cloud KMS.

Solução:

  • Limite o número de chamadas do Cloud KMS.
  • Aumente a quota.
Para mais informações, consulte o artigo Monitorize e ajuste as quotas do Cloud KMS.
Erro de autorização Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

A chave do Cloud KMS fornecida não existe ou a autorização de gestão de identidade e de acesso (IAM) não está configurada corretamente.

Solução:

Para resolver problemas que possa encontrar ao usar chaves geridas externamente através do Cloud External Key Manager (Cloud EKM), consulte a referência de erros do Cloud EKM.

O que se segue?