排查 CMEK 错误消息

您可以使用 Cloud Key Management Service (Cloud KMS) 客户管理的加密密钥 (CMEK) 来保护 Eventarc。密钥通过 Cloud Key Management Service 创建和管理。本页面介绍如何解决在将 Cloud Key Management Service 与 Eventarc 搭配使用时可能会遇到的问题。

下表介绍了不同的错误以及如何解决这些错误。

错误消息 说明
Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist). 提供的 Cloud KMS 密钥不存在,或者权限未正确配置。

解决方案:

$KEY is not enabled, current state is: DISABLED. 提供的 Cloud KMS 密钥已停用。

解决方案:重新启用 Cloud KMS 密钥

Key region $REGION must match the resource to be protected. 提供的 KMS 密钥区域与渠道的区域不同。

解决方案:使用来自同一区域的 Cloud KMS 密钥。注意:对于多区域 eu 中的渠道,应使用多区域 europe 中的 Cloud KMS 密钥对其进行保护。如需了解详情,请参阅 Cloud KMS 多区域Eventarc 多区域位置。

Quota exceeded for limit. Cloud KMS 请求过多且已达到配额限制。

解决方案:

  • 限制 Cloud KMS 调用的数量。
  • 提高配额限制。
  • 如需了解配额(包括查看或申请更多配额),请参阅 Cloud KMS 配额

如需解决通过 Cloud External Key Manager (Cloud EKM) 使用外部管理的密钥时可能遇到的问题,请参阅 Cloud EKM 错误参考