Résoudre les problèmes liés aux messages d'erreur CMEK

Pour protéger Eventarc, vous pouvez utiliser les clés de chiffrement gérées par le client (CMEK) de Cloud Key Management Service. Les clés sont créées et gérées via Cloud Key Management Service. Cette page vous explique comment résoudre les problèmes que vous pouvez rencontrer lors de l'utilisation de Cloud Key Management Service avec Eventarc.

Le tableau suivant décrit les différentes erreurs et indique comment les résoudre.

Message d'erreur Description
Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist). Soit la clé Cloud KMS fournie n'existe pas, soit l'autorisation n'est pas correctement configurée.

Solution :

$KEY is not enabled, current state is: DISABLED. La clé Cloud KMS fournie a été désactivée.

Solution : réactivez la clé Cloud KMS.
Key region $REGION must match the resource to be protected. La région de la clé KMS fournie est différente de celle du canal.

Solution : utilisez une clé Cloud KMS de la même région. Remarque : Pour les canaux de l'emplacement multirégional eu, vous devez utiliser une clé Cloud KMS dans l'emplacement multirégional europe pour la protection. Pour en savoir plus, consultez les emplacements multirégionaux Cloud KMS et Eventarc multirégionaux.

Quota exceeded for limit. Trop de requêtes Cloud KMS et votre limite de quota a été atteinte.

Solution :

  • Limitez le nombre d'appels Cloud KMS.
  • Augmenter la limite de quota.

    • Pour en savoir plus sur les quotas, y compris sur l'affichage ou la demande de quotas supplémentaires, consultez la page Quotas Cloud KMS.

Pour résoudre les problèmes que vous pouvez rencontrer lors de l'utilisation de clés gérées en externe via Cloud External Key Manager (Cloud EKM), consultez la documentation de référence sur les erreurs Cloud EKM.