Résoudre les problèmes liés aux CMEK

Vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) pour protéger Eventarc. Les clés sont créées et gérées via Cloud Key Management Service (Cloud KMS). Le tableau suivant décrit les différents problèmes liés aux CMEK et explique comment les résoudre lorsque vous utilisez Cloud KMS avec Eventarc.

Problèmes rencontrés lors de la création ou de la mise à jour de ressources Eventarc

Problème CMEK Message d'erreur Description
Clé désactivée $KEY is not enabled, current state is: DISABLED

La clé Cloud KMS fournie a été désactivée pour une ressource Eventarc. Les événements ou messages associés à la ressource ne sont plus protégés.

Solution :

  1. Affichez la clé utilisée pour un canal.
  2. Réactivez la clé Cloud KMS.
Quota dépassé Quota exceeded for limit

Votre limite de quota pour les requêtes Cloud KMS a été atteinte.

Solution :

  • Limitez le nombre d'appels Cloud KMS.
  • Augmentez le quota.
Pour en savoir plus, consultez la section Surveiller et ajuster les quotas Cloud KMS.
Région incohérente Key region $REGION must match the resource to be protected

La région de la clé KMS fournie est différente de celle du canal.

Solution :

Utilisez une clé Cloud KMS de la même région. Notez que pour les canaux de l'emplacement multirégional eu, vous devez utiliser une clé Cloud KMS dans l'emplacement multirégional europe pour la protection. Pour en savoir plus, consultez les emplacements Cloud KMS et multirégionaux Eventarc.

Contrainte liée aux règles d'administration project/PROJECT_ID violated org policy constraint

Eventarc est intégré aux deux contraintes de règles d'administration suivantes pour garantir l'utilisation de CMEK dans l'ensemble d'une organisation. Aucune ressource Eventarc existante n'est soumise à une règle définie après sa création. Toutefois, la mise à jour de la ressource peut échouer.

  • constraints/gcp.restrictNonCmekServices entraîne l'échec de toutes les requêtes de création de ressources sans clé Cloud KMS spécifiée.

    Solution :

    Spécifiez une clé Cloud KMS pour la ressource Eventarc. Pour en savoir plus, consultez la page Exiger des CMEK pour les nouvelles ressources Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects limite les clés Cloud KMS que vous pouvez utiliser pour protéger une ressource Eventarc.

    Solution :

    Utilisez une clé Cloud KMS compatible pour le projet Eventarc. Pour en savoir plus, consultez la page Restreindre les clés Cloud KMS d'un projet Eventarc.

Problèmes survenant lors de l'envoi d'événements

Problème CMEK Message d'erreur Description
Clé désactivée $KEY is not enabled, current state is: DISABLED

La clé Cloud KMS fournie a été désactivée pour une ressource Eventarc. Les événements ou messages associés à la ressource ne sont plus protégés.

Solution :

  1. Affichez la clé utilisée pour un canal.
  2. Réactivez la clé Cloud KMS.
Quota dépassé Quota exceeded for limit

Votre limite de quota pour les requêtes Cloud KMS a été atteinte.

Solution :

  • Limitez le nombre d'appels Cloud KMS.
  • Augmentez le quota.
Pour en savoir plus, consultez la section Surveiller et ajuster les quotas Cloud KMS.
Erreur d'autorisation Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

Soit la clé Cloud KMS fournie n'existe pas, soit l'autorisation Identity and Access Management (IAM) n'est pas correctement configurée.

Solution :

Pour résoudre les problèmes que vous pouvez rencontrer lors de l'utilisation de clés gérées en externe via Cloud External Key Manager (Cloud EKM), consultez la documentation de référence sur les erreurs Cloud EKM.

Étape suivante