Utiliser Cloud EKM avec VPC

Cet article explique comment utiliser Cloud External Key Manager (Cloud EKM) pour créer et gérer des clés externes accessibles uniquement via un réseau cloud privé virtuel (VPC).

Limites

Actuellement, l'accès à vos clés Cloud EKM via un VPC est disponible dans les emplacements régionaux Cloud KMS.

Terminologie

Connexion EKM

Ressource Cloud KMS utilisée pour configurer une connexion à votre gestionnaire de clés externe. Dans Google Cloud Console, il s'agit d'une connexion EKM via une connexion VPC.
Projet VPC

Projet contenant la ressource VPC utilisée pour se connecter à votre gestionnaire de clés externe.
Principaux projets

Projets contenant les ressources de connexion EKM et les clés EKM Cloud dans Cloud KMS. Un projet de clé peut être identique à un projet VPC, mais ce n'est pas obligatoire.

Avant de commencer

Une fois les étapes ci-dessous terminées, vous pouvez commencer à utiliser les clés Cloud EKM pour protéger vos données.

Créer un projet

Dans la console Google Cloud, accédez à la page "Gérer les ressources".

Accéder à la page "Gérer les ressources"
Créez un projet Google Cloud ou sélectionnez un projet existant.

Important : Le nom que vous utilisez doit comporter entre 4 et 30 caractères. Lorsque vous le saisissez, le formulaire suggère un ID de projet que vous pouvez modifier. L'ID de projet utilisé doit comporter entre 6 et 30 caractères, et commencer par une lettre minuscule. Vous pouvez utiliser un tiret, une lettre minuscule ou un chiffre pour chacun des autres caractères, mais le dernier caractère ne peut pas être un tiret. N'oubliez pas que certains identifiants de ressources (tels que les ID de projet) peuvent être conservés au-delà de la durée de vie du projet. Par conséquent, évitez de stocker des informations sensibles dans des identifiants de ressources.
...Afficher les consignes d'attribution de noms
Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.

En savoir plus sur les tarifs de Cloud EKM

Activer Cloud KMS

Activez l'API Cloud Key Management Service pour le projet.

Activer l'API Cloud Key Management Service

Notez le compte de service Cloud EKM de votre projet. Dans l'exemple suivant, remplacez PROJECT_NUMBER par le numéro de projet de votre projet Google Cloud. Ces informations sont également visibles chaque fois que vous créez une clé Cloud EKM dans Google Cloud Console.
```
service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
```

Vérifier que gcloud CLI est à jour

Si vous souhaitez utiliser Google Cloud CLI, assurez-vous qu'il est à jour avec la commande suivante:

gcloud

gcloud components update

Préparer un réseau VPC

Lorsque vous configurez un réseau VPC, deux options s'offrent à vous:

Par défaut, les nouveaux projets contiennent un réseau en mode automatique, qui est prérempli avec des règles de pare-feu. Si le réseau VPC n'est pas utilisé en production, le réseau par défaut en mode automatique constitue le moyen le plus rapide de démarrer.

Si votre gestionnaire de clés externe s'exécute sur site et que vous vous y connecterez via une connectivité hybride, vous devez utiliser un réseau en mode personnalisé, car il permet de contrôler les plages d'adresses IP de sous-réseau.

Pour configurer votre VPC, procédez comme suit:

Activer l'accès privé à Google

Le gestionnaire de clés externe doit vérifier le jeton OIDC contenu dans chaque requête. Pour valider le jeton, il doit récupérer la clé publique OAuth2 à partir du nom de domaine www.googleapis.com. Si le gestionnaire de clés externe s'exécute dans Google Cloud et n'a pas accès via Internet (par exemple, une VM sans adresse IP externe ou bloqué par un pare-feu), suivez les instructions pour configurer l'accès privé à Google.
Configuration du pare-feu pour la plage d'adresses IP 35.199.192.0/19

Les requêtes de Cloud EKM proviendront de cette plage. Créez des règles de pare-feu autorisant les entrées et les sorties pour le port sur lequel le gestionnaire de clés externe écoute.

Configurer une connectivité hybride

Si le gestionnaire de clés externe s'exécute sur site, utilisez une solution de connectivité hybride pour connecter le VPC à votre réseau sur site. Une fois la connectivité configurée, procédez comme suit:

Activer l'accès privé à Google

Le gestionnaire de clés externe doit vérifier le jeton OIDC contenu dans chaque requête. Pour valider le jeton, il doit récupérer la clé publique OAuth2 à partir du nom de domaine www.googleapis.com. Si le gestionnaire de clés externe s'exécute sur site et n'a pas accès via Internet, suivez les instructions pour configurer l'accès privé à Google pour les hôtes sur site.
Configuration du pare-feu pour la plage d'adresses IP 35.199.192.0/19

Les requêtes de Cloud EKM proviendront de cette plage. Configurez votre pare-feu réseau sur site ou un équipement similaire afin d'autoriser le trafic TCP sur le port sur lequel le gestionnaire de clés externe écoute.
Assurez-vous que votre VPC dispose d'une route de retour vers la plage d'adresses IP 35.199.192.0/19

Votre réseau sur site doit disposer d'une route pour la destination 35.199.192.0/19. Pour savoir comment répondre à cette exigence, consultez la section Stratégies de routage des retours pour les cibles sur site.

Stratégies de routage des retours pour les cibles sur site

Pour les tunnels Cloud VPN utilisant le routage statique, créez manuellement sur votre réseau sur site une route dont la destination est 35.199.192.0/19 et dont le saut suivant est le tunnel Cloud VPN. Pour les tunnels Cloud VPN utilisant le routage basé sur des règles, configurez le sélecteur de trafic local de Cloud VPN et le sélecteur de trafic distant de la passerelle VPN sur site de façon à inclure 35.199.192.0/19.
Pour les tunnels Cloud VPN utilisant le routage dynamique ou pour Cloud Interconnect, configurez une annonce de routage personnalisée pour 35.199.192.0/19 sur la session BGP de Cloud Router qui gère le tunnel ou le rattachement de VLAN.

Configurer votre gestionnaire de clés externe

Suivez les instructions de votre fournisseur EKM pour configurer votre EKM.

Créer un point de terminaison de service de l'Annuaire des services

Créez et configurez un point de terminaison de service de l'Annuaire des services dans votre projet VPC, qui pointe vers l'adresse IP privée et le port de votre gestionnaire de clés externe. Si vous utilisez un équilibreur de charge devant plusieurs instances dupliquées EKM, utilisez l'adresse IP et le port de l'équilibreur de charge. Assurez-vous que le champ network du point de terminaison de service de votre Annuaire des services est renseigné.

Autoriser Cloud EKM à accéder à votre VPC

Pour chaque projet de clé, vous devez autoriser Cloud EKM à accéder à votre VPC au nom de ce projet, même si le projet de clé et le projet VPC sont identiques. En autorisant l'accès, les clés de votre projet de clé peuvent utiliser le VPC de votre projet VPC.

Assurez-vous qu'un compte de service Cloud EKM existe pour le projet.

gcloud

gcloud beta services identity create \
  --service=cloudkms.googleapis.com \
  --project=KEY_PROJECT_ID

Accordez les servicedirectory.viewer et les servicedirectory.pscAuthorizedService dans votre projet VPC à service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com. Pour obtenir de l'aide sur l'obtention de l'ID et du numéro de votre projet, consultez la page Créer et gérer des projets.

gcloud

gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
  --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
  --role='roles/servicedirectory.viewer'

gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
  --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
  --role='roles/servicedirectory.pscAuthorizedService'

Créer une clé externe

Vous effectuez ces étapes sur le système partenaire de gestion des clés externes. Les étapes exactes varient en fonction du partenaire de gestion des clés externes. Vous pouvez consulter la liste des partenaires Cloud EKM compatibles.

Si nécessaire, demandez l'accès à votre partenaire de gestion des clés externe pour participer.
Créez une clé symétrique ou asymétrique dans le système externe du partenaire de gestion des clés, ou sélectionnez une clé existante.

Créez la clé dans une région proche de la région Google Cloud que vous souhaitez utiliser pour les clés Cloud EKM. Cela permet de réduire la latence du réseau entre votre projet Google Cloud et le partenaire de gestion des clés externes. Dans le cas contraire, le nombre d'opérations ayant échoué peut augmenter. Consultez la page Cloud EKM et régions pour plus d'informations.
Notez l'URI ou le chemin d'accès de la clé externe. Vous avez besoin de ces informations pour créer une clé Cloud EKM.

Connecter votre EKM à Cloud EKM

Pour connecter votre gestionnaire de clés externe à Cloud EKM, créez une connexion EKM dans votre projet de clé.

Console

Accédez à la page Gestion des clés dans la console Google Cloud.

Accéder à la page Gestion des clés
Cliquez sur Infrastructure KMS en haut à droite.
Cliquez sur Créer une connexion à côté de EKM via une connexion VPC.
Dans le champ Nom, saisissez le nom de votre connexion.
Dans le menu déroulant Emplacement, sélectionnez un emplacement pour la connexion EKM. Notez que toutes les clés Cloud KMS associées à cette connexion doivent se trouver dans la même région que la connexion.
Dans le champ Annuaire des services, saisissez la valeur du service créé dans la section Créer un point de terminaison de service de l'Annuaire des services. Notez que le service de l'Annuaire des services doit se trouver dans la même région que la connexion.
Dans le champ Hostname (Nom d'hôte), ajoutez le nom d'hôte de votre gestionnaire de clés externe.
Dans Certificats, cliquez sur Ajouter un certificat pour importer un ou plusieurs certificats de serveur X.509 pour votre gestionnaire de clés externe. Les certificats doivent être au format DER.
Cliquez sur Créer.

gcloud CLI

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à niveau la dernière version de Google Cloud CLI.

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME\
    --server-certificates-files SERVER_CERTIFICATE_FILES

Remplacez EKM_CONNECTION par le nom de la connexion. Remplacez LOCATION par l'emplacement Cloud KMS de la connexion. Notez que toutes les clés Cloud KMS associées à cette connexion doivent se trouver dans la même région que la connexion. Remplacez SERVICE_DIRECTORY_SERVICE par l'ID de ressource du service de l'Annuaire des services. Remplacez HOSTNAME par le nom d'hôte de votre gestionnaire de clés externe. Remplacez SERVER_CERTIFICATE_FILES par une liste de fichiers séparés par une virgule contenant les certificats de serveur X.509 pour votre gestionnaire de clés externe. Les certificats doivent être au format DER.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

API

Ces exemples utilisent curl comme client HTTP pour démontrer l'utilisation de l'API. Pour en savoir plus sur le contrôle des accès, consultez la page Accéder à l'API Cloud KMS.

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data "{\"name\": {\"EKM_CONNECTION_NAME\": {}}}"

Pour plus d'informations, consultez la documentation de l'API EkmConnection.create.

État du certificat

Une fois que vous avez importé un certificat pour votre connexion EKM, vous pouvez vérifier l'état de chaque certificat EKM ainsi que l'état de chaque certificat à partir de la page Infrastructure KMS.

Les connexions EKM ont un état général dans la colonne État du certificat de chaque connexion. Si l'état d'une connexion EKM n'est pas Active, nous vous recommandons de mettre à jour le ou les certificats sur votre connexion EKM.

Les connexions EKM et les certificats individuels peuvent être associés aux états suivants:

Actif: le certificat est valide et est sur le point d'expirer.
Expiration dans 30 jours: le certificat est valide, mais sa date d'expiration est de 30 jours.
Arrivé à expiration : le certificat a expiré et n'est plus valide. Nous vous recommandons de mettre à jour tous les certificats expirés.
Pas encore valide : le certificat n'est pas actif. Cela peut se produire si la date de début du certificat se situe dans le futur.

Si votre certificat n'est plus valide, mettez à jour votre connexion EKM dans la console Google Cloud.

Console

Accédez à la page Infrastructure KMS dans la console Google Cloud.
Accéder à la page "Infrastructure KMS"
Cliquez sur le nom de l'EKM via une connexion VPC contenant le certificat à mettre à jour.
Cliquez sur Modifier la connexion.
Cliquez sur Ajouter un certificat pour importer un ou plusieurs certificats de serveur X.509 pour votre gestionnaire de clés externe. Les certificats doivent être au format DER.
Supprimez les certificats arrivés à expiration. Passez la souris sur le certificat arrivé à expiration, puis sélectionnez l'icône Supprimer à droite.
Cliquez sur Mettre à jour la connexion pour mettre à jour l'EKM via une connexion VPC.

Créer une clé Cloud EKM

Vous pouvez désormais utiliser la connexion EKM pour créer des clés Cloud KMS et les associer à votre gestionnaire de clés externe à l'aide de la console Google Cloud ou de Google Cloud CLI.

Créer une clé de chiffrement symétrique

Console

Accédez à la page Gestion des clés dans la console Google Cloud.

Accéder à la page Gestion des clés
Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.
Cliquez sur Créer une clé.
Dans Quel type de clé souhaitez-vous créer ?, sélectionnez Clé gérée en externe.
Dans le champ Key name (Nom de la clé), saisissez le nom de votre clé.
Dans le champ Type de connexion de clé gérée en externe, sélectionnez via VPC.
Cliquez sur la liste déroulante EKM via une connexion VPC et sélectionnez la connexion EKM que vous souhaitez utiliser pour cette clé.

Notez que si vous ne disposez pas de l'autorisation EkmConnection.list, vous devez saisir manuellement le nom de la ressource de connexion.
Dans le champ Chemin d'accès de la clé, saisissez le chemin d'accès à votre clé externe.
Cliquez sur Créer.

gcloud CLI

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à niveau la dernière version de Google Cloud CLI.

gcloud kms keys create KEY \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose "encryption" \
    --default-algorithm "external-symmetric-encryption" \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --crypto-key-backend EKM_CONNECTION

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

Créer une clé de signature asymétrique

Console

Accédez à la page Gestion des clés dans la console Google Cloud.

Accéder à la page Gestion des clés
Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.
Cliquez sur Créer une clé.
Pour le type de clé, sélectionnez Clé gérée en externe.
Attribuer un nom à la clé.
Définissez Purpose (Objectif) sur Asymmetric sign (Signature asymétrique).
Dans le champ Algorithme, sélectionnez un algorithme de signature asymétrique valide accepté par votre partenaire de gestion des clés externe. Une fois la clé asymétrique créée, l'algorithme ne peut plus être modifié.
Dans le champ Type de connexion de clé gérée en externe, sélectionnez via VPC.
Cliquez sur la liste déroulante EKM via une connexion VPC et sélectionnez la connexion EKM que vous souhaitez utiliser pour cette clé.

Si vous ne disposez pas de l'autorisation EkmConnection.list, vous devez saisir manuellement le nom de la ressource de connexion.
Dans le champ Chemin d'accès de la clé, saisissez l'URI de la clé externe.
Vous pouvez également ajouter des libellés pour la clé. Apprenez-en plus sur les libellés.
Cliquez sur Créer.

gcloud CLI

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à niveau la dernière version de Google Cloud CLI.

gcloud kms keys create KEY \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose asymmetric-signing \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --default-algorithm ec-sign-p256-sha256
    --crypto-key-backend EKM_CONNECTION

Remplacez KEY par le nom de la nouvelle clé. Remplacez KEY_RING par le nom du trousseau de clés existant où sera située la clé. Remplacez LOCATION par l'emplacement Cloud KMS du trousseau de clés. Remplacez EKM_CONNECTION par le nom de la connexion EKM existante à utiliser pour créer cette clé. Définissez --default algorithm sur un algorithme de signature asymétrique valide accepté par votre partenaire de gestion des clés externe.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

Créer une version de clé

Créez une version de clé pointant vers une clé EKM spécifiée par son ekm-connection-key-path. ekm-connection-key-path est le chemin d'accès utilisé pour accéder à la clé dans le gestionnaire de clés externe. Pour savoir comment trouver le chemin d'accès de la clé, consultez la documentation de votre fournisseur EKM.

Ce processus est le même pour les clés de chiffrement symétriques et les clés de signature asymétrique.

Console

Accédez à la page Gestion des clés dans la console Google Cloud.

Accéder à la page Gestion des clés
Cliquez sur le nom du trousseau de clés contenant la clé pour laquelle vous souhaitez créer une nouvelle version.
Cliquez sur la clé pour laquelle vous souhaitez créer une nouvelle version.
Dans l'en-tête, cliquez sur Alterner la clé.
Dans l'invite, saisissez le chemin d'accès de la nouvelle version.
Cliquez sur Rotation de la clé pour confirmer.

gcloud CLI

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à niveau la dernière version de Google Cloud CLI.

gcloud kms keys versions create \
    --key KEY \
    --keyring KEY_RING \
    --location LOCATION \
    --ekm-connection-key-path EKM_CONNECTION_KEY_PATH
    --primary

Remplacez KEY par le nom de la clé. Remplacez KEY_RING par le nom du trousseau de clés existant où sera située la clé. Remplacez LOCATION par l'emplacement Cloud KMS du trousseau de clés. Remplacez EKM_CONNECTION_KEY_PATH par le chemin d'accès à votre clé sur votre gestionnaire de clés externe.

Les versions de clé sont numérotées dans l'ordre.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

Une fois la version de clé créée, vous pouvez l'utiliser comme n'importe quelle autre version de clé Cloud KMS.

Alterner ou créer une version de clé externe

Commencez par alterner le matériel de clé externe de votre gestionnaire de clés externe. Si cela génère un nouveau chemin d'accès de la clé, vous devez alterner ou créer une version de clé Cloud EKM avec le nouveau chemin.

Pour les clés de chiffrement symétriques, effectuez une rotation de la clé Cloud EKM et spécifiez le nouveau chemin d'accès de la clé à partir de votre gestionnaire de clés externe. Pour les clés asymétriques, créez une version de clé et spécifiez le nouveau chemin d'accès. La rotation ou la création d'une version de clé entraîne le chiffrement de toutes les données nouvellement créées avec cette clé à l'aide du nouveau matériel de clé. Les données protégées avec le matériel de clé précédent ne sont pas chiffrées à nouveau. Par conséquent, votre gestionnaire de clés externe doit continuer à mettre à disposition le matériel de clé précédent.

Si le matériel de clé du système partenaire de gestion des clés externe ne change pas, mais que le chemin d'accès de la clé change, vous pouvez mettre à jour le chemin d'accès de la clé externe sans la faire pivoter.

Console

Accédez à la page Gestion des clés dans la console Google Cloud.
Accéder à la page "Gestion des clés"
Sélectionnez le trousseau de clés, puis la clé.
Sélectionnez Alterner la clé pour les clés symétriques ou Créer une version pour les clés asymétriques.
Saisissez le nouveau chemin d'accès de la clé, puis sélectionnez Alterner la clé pour les clés symétriques ou Créer une version pour les clés asymétriques.

La nouvelle version de clé devient la version primaire.

gcloud

Pour mettre à jour la clé, créez une version de clé contenant le chemin d'accès externe mis à jour et définissez cette version comme version de clé primaire. Utilisez les mêmes nom, trousseau de clés et emplacement que ceux utilisés lors de la création de la clé.

Ce processus est le même pour les clés symétriques et asymétriques.

gcloud kms keys versions \
  create \
  --key KEY_NAME \
  --keyring KEY_RING_NAME \
  --location LOCATION \
  --ekm-connection-key-path NEW_EKM_CONNECTION_KEY_PATH \
  --primary

Mettre à jour le chemin d'accès d'une version de clé sans rotation

Il est également possible de mettre à jour le chemin d'accès de la clé sans la faire pivoter. Cela est utile lorsque vous ne souhaitez pas modifier le matériel de clé, mais que le chemin d'accès de la clé change en raison d'une modification de configuration dans votre gestionnaire de clés externe. La mise à jour du chemin d'accès de la clé sans rotation n'est autorisée que si le nouveau chemin d'accès de la clé héberge le même matériel de clé que le chemin d'accès initial.

Si le matériel de clé a été tourné dans le système externe de gestion des clés externe, vous devez effectuer une rotation de la clé.

Console

Accédez à la page Gestion des clés dans la console Google Cloud.
Accéder à la page "Gestion des clés"
Sélectionnez le trousseau de clés, puis la clé et la version.
Cliquez sur Plus , puis sur Afficher le chemin d'accès de la clé.
Cliquez sur Mettre à jour le chemin d'accès de la clé.
Saisissez le nouveau chemin d'accès de la clé, puis cliquez sur Enregistrer.

gcloud

Pour mettre à jour le chemin d'accès de la version de clé, exécutez la commande gcloud kms versions update, spécifiez la version de clé à mettre à jour, puis définissez l'option --ekm-connection-key-path sur le nouveau chemin d'accès.

gcloud kms keys versions update KEY_VERSION \
  --key KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --ekm-connection-key-path ekm-connection-key-path

Par exemple, la commande suivante met à jour le chemin d'accès de la version 2 de la clé example-key sur v0/example_key:

gcloud kms keys versions update 2 \
  --key example-key \
  --keyring example-keyring \
  --location us-west1 \
  --ekm-connection-key-path v0/example_key

Désactiver ou détruire une clé externe

Pour désactiver temporairement l'association entre une clé Cloud EKM et une clé externe, vous pouvez désactiver la clé ou la version de clé Cloud EKM. Il est recommandé de désactiver toutes les versions de clé. La désactivation d'une clé prend effet dans les trois heures.

Lorsque vous désactivez une clé, vous devez également révoquer l'accès à la clé. Les opérations IAM sont cohérentes en quelques secondes. Pensez également à révoquer l'accès au compte de service Google Cloud dans le système partenaire de gestion des clés externe.

Pour supprimer définitivement l'association entre une clé Cloud EKM et une clé externe, vous pouvez programmer la destruction de la version de la clé Cloud EKM. Après une période de 24 heures, la clé est détruite. La destruction d'une clé est définitive. Une fois la version de clé détruite, vous ne pouvez plus chiffrer, ni déchiffrer des données chiffrées avec la version de clé Cloud EKM. Vous ne pouvez pas recréer une version de clé Cloud EKM qui a été détruite, même si vous utilisez le même URI de clé externe ou le même chemin d'accès. Lorsque vous détruisez le matériel de clé externe, nous vous recommandons de détruire d'abord la clé ou la version de clé dans Google Cloud, puis de supprimer le matériel de clé dans le gestionnaire de clés externe au bout de 24 heures.

Résolution des erreurs

Outre les erreurs répertoriées dans la documentation de référence sur les erreurs Cloud EKM, les EKM accessibles via VPC peuvent rencontrer des erreurs supplémentaires.

Erreurs d'entrée

Le tableau suivant décrit des erreurs causées par des entrées incorrectes et des suggestions de dépannage :

google.rpc.Status.message	violation[1].type(Domaine d'erreur)	Dépannage
Autorisation refusée lors de l'accès à l'Annuaire des services. Assurez-vous que le compte de service Cloud EKM a accès à la ressource Annuaire des services dans le projet VPC.	`SD_RESOURCE_PERMISSION_DENIED`	Suivez la procédure Autoriser Cloud EKM à accéder à votre VPC pour autoriser Cloud EKM à accéder à votre ressource VPC. Consultez également le guide de dépannage de l'Annuaire des services.

Erreurs du système de gestion des clés externes

Le tableau suivant décrit des erreurs système EKM et des suggestions de dépannage :

google.rpc.Status.message violation[1].type(Domaine d'erreur) Dépannage

Impossible d'utiliser l'entrée de l'Annuaire des services fournie pour le gestionnaire de clés externe. Les données étaient incomplètes ou introuvables dans le service Annuaire des services.

google.rpc.Status.message	violation[1].type(Domaine d'erreur)	Dépannage
Impossible d'utiliser l'entrée de l'Annuaire des services fournie pour le gestionnaire de clés externe. Les données étaient incomplètes ou introuvables dans le service Annuaire des services.	`SD_RESOURCE_MALFORMED`	Si vous gérez votre propre EKM, procédez comme suit : Assurez-vous que le champ network (réseau) du point de terminaison de l'Annuaire des services est renseigné. Assurez-vous que l'adresse IP et le port sont correctement définis pour votre point de terminaison. Si votre EKM est géré par un fournisseur distinct, procédez comme suit : Contactez votre fournisseur EKM pour vous assurer que les points de terminaison de l'Annuaire des services réseau sont correctement définis.

SD_RESOURCE_MALFORMED

Si vous gérez votre propre EKM, procédez comme suit :

Assurez-vous que le champ network (réseau) du point de terminaison de l'Annuaire des services est renseigné.

Assurez-vous que l'adresse IP et le port sont correctement définis pour votre point de terminaison.

Si votre EKM est géré par un fournisseur distinct, procédez comme suit :

Contactez votre fournisseur EKM pour vous assurer que les points de terminaison de l'Annuaire des services réseau sont correctement définis.