Cloud EKM-Fehlerreferenz

In diesem Thema erfahren Sie, wie Sie Fehler interpretieren und beheben, die bei der Verwendung von Cloud External Key Manager (Cloud EKM) auftreten können.

Struktur eines Fehlers

Die Struktur der Fehlermeldungen bietet so viel Detaillierungsgrad wie möglich, um das Problem zu diagnostizieren und zu troubleshoot. Fehler werden in einer google.rpc.Status-Struktur zurückgegeben. Innerhalb dieser Struktur gilt:

  • Das Feld google.rpc.Status.code zeigt die allgemeine Kategorie des Fehlers an.
  • Das Feld google.rpc.Status.message enthält eine für Menschen lesbare Nachricht mit Details zur spezifischen Aktion, die versucht wurde, und kontextabhängige Vorschläge zur Fehlerbehebung.
  • Wenn google.rpc.Status.code FAILED_PRECONDITION ist, ist die google.rpc.PreconditionFailure-Struktur maschinenlesbar. Sie enthält zwei violation-Strukturen.

    • violation[0] enthält Informationen zum Status des Cloud EKM-Schlüssels.
    • violation[1] enthält Informationen zum Versuch, das Partnersystem für die externe Schlüsselverwaltung zu kontaktieren.

      violation[1].type enthält Informationen zum Fehlertyp. Cloud EKM bezieht sich auf diese Informationen als "Fehlerdomain".

      Wenn diese Fehler weiterhin auftreten, wenden Sie sich an den Support für den Partner für die externe Schlüsselverwaltung.

In dieser Referenz werden die Nachrichten im google.rpc.Status.message zur besseren Lesbarkeit abgeschnitten. Der abgeschnittene Teil enthält Informationen wie den externen Schlüssel-URI oder den Schlüsselpfad.

Fehlerbehebung

Fehler, die bei der Verwendung von Cloud EKM auftreten, können durch Probleme mit Eingabefehlern, Cloud EKM, dem Partnersystem für die externe Schlüsselverwaltung, der Kommunikation zwischen ihnen oder anderen Faktoren verursacht werden. Weitere Informationen zur Fehlerbehebung finden Sie im Abschnitt zu den einzelnen Fehlertypen.

Je nach Art des Fehlers müssen Sie sich möglicherweise an den Support oder den Support für das externe Schlüsselverwaltungs-Partnersystem wenden.

Wenn Ihr Fehler in den Tabellen unten nicht aufgeführt ist, lesen Sie die Informationen unter Fehlerbehebung bei EKM-über-VPC-Fehlern.

Eingabefehler

Folgen Sie der Anleitung zur Fehlerbehebung im Feld google.rpc.Status.message des Fehlers. Wenn das Problem weiterhin besteht, wenden Sie sich an den Google Cloud-Support.

Wenn nicht anders angegeben, haben die Fehler in diesem Abschnitt den google.rpc.Status.code von FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Fehlerdomain)
Fehlerbehebung
Permission was denied when accessing the EKM_ELEMENT. EXTERNAL_PERMISSION_DENIED Wenn EKM_ELEMENT den Wert key hat, deaktiviert Cloud EKM auch die Schlüsselversion. Erteilen Sie die entsprechenden Berechtigungen in Ihrem externen Schlüsselverwaltungssystem und versuchen Sie es dann noch einmal, indem Sie den Cloud EKM-Schlüssel rotieren.
Wenn EKM_ELEMENT den Wert crypto space oder EKM host hat, weisen Sie dem Dienstkonto die entsprechende Rolle oder die entsprechenden Berechtigungen zu und versuchen Sie es dann noch einmal.
Could not find a EKM_ELEMENT oder Could not query EKM host. EXTERNAL_NOT_FOUND Wenn EKM_ELEMENT den Wert key hat, prüfen Sie, ob der URI des externen Schlüssels oder der Schlüsselpfad korrekt ist.
Wenn EKM_ELEMENT den Wert crypto space hat, prüfen Sie, ob der Crypto-Space-Pfad korrekt ist.
Wenn ein EKM host nicht abgefragt werden kann, prüfen Sie, ob der EKM-Hostname korrekt ist.
Wenn sie richtig geschrieben sind, wenden Sie sich an den Support des Partnersystems für die externe Schlüsselverwaltung.
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID Prüfen Sie, ob der Schlüssel-URI in dieser Anfrage korrekt ist. Versuchen Sie es noch einmal und rotieren Sie dabei den Cloud-EKM-Schlüssel.
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED Prüfen Sie, ob der URI des externen Schlüssels korrekt ist. Wenn Sie Ihre eigene Bereitstellung des externen Schlüsselverwaltungs-Partnersystems betreiben, wenden Sie sich an den Google Cloud-Support. Wenden Sie sich andernfalls an den Support für das externe Schlüsselverwaltungs-Partnersystem.
Could not resolve the domain name for EKM_ELEMENT. DNS Prüfen Sie, ob der Schlüssel-URI, der Schlüsselpfad, der kryptografische Bereich oder der EKM-Hostname korrekt sind. Wenn dies der Fall ist, wenden Sie sich an den Support für das externe Schlüsselverwaltungs-Partnersystem.

Behebbare Fehler

Folgen Sie der Anleitung zur Fehlerbehebung im Feld google.rpc.Status.message des Fehlers. Wenn Sie häufig Zeitüberschreitungen oder Netzwerkfehler feststellen, achten Sie darauf, dass sich der geografische Standort Ihrer Cloud EKM-Schlüssel so nahe wie möglich an der Region befindet, die Sie für die externen Schlüssel verwenden. Wenn das Problem weiterhin besteht, wenden Sie sich an den Support für den Partner für die externe Schlüsselverwaltung.

Wenn nicht anders angegeben, haben die Fehler in diesem Abschnitt google.rpc.Status.code von FAILED_PRECONDITION. EKM_ELEMENT kann einer der folgenden Werte sein: key, crypto space oder EKM host.

google.rpc.Status.message violation[1].type
(Fehlerdomain)
Throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach the EKM_ELEMENT due to an external networking error. UNREACHABLE_NETWORK
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. OVERLOADED_EKM
Timed out when trying to access the EKM_ELEMENT. TIMEOUT
Dieser Fehler tritt in der Regel auf, wenn der EKM zu langsam reagiert. Das kann daran liegen, dass der EKM mehr Anfragen erhält, als er verarbeiten kann, oder dass die Netzwerklatenz zu hoch ist. REQUEST_CANCELLED

Fehler im externen Schlüsselverwaltungssystem

Wenn diese Fehler weiterhin auftreten, wenden Sie sich an den Support des Partners für die externe Schlüsselverwaltung.

Wenn nicht anders angegeben, haben die Fehler in diesem Abschnitt google.rpc.Status.code von FAILED_PRECONDITION. EKM_ELEMENT kann einer der folgenden Werte sein: key, crypto space oder EKM host.

google.rpc.Status.message violation[1].type
(Fehlerdomain)
Could not validate the TLS server certificate for the EKM_ELEMENT. TLS_CERT
Got garbled or unusable response when trying to access the EKM_ELEMENT. UNEXPECTED_RESPONSE
External server error when trying to access the EKM_ELEMENT. EXTERNAL_SERVER_ERROR
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_API kann AsymmetricSign, CheckCryptoSpacePermissions, CreateKey, Decrypt, DestroyKey, Encrypt, GetInfo oder GetPublicKey sein.
EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access the EKM_ELEMENT. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
Dies bedeutet, dass der Schlüssel-URI gültig ist, das Partnersystem für die externe Schlüsselverwaltung jedoch verpackte Blobs oder zusätzliche authentifizierte Daten (Additional Authenticated Data, AAD) nicht entschlüsseln konnte.
google.rpc.Status.code ist INVALID_ARGUMENT.
DECRYPTION_FAILED

Support

Wenn ein Fehler auftritt, der in dieser Referenz nicht aufgeführt ist, wenden Sie sich an den Google Cloud-Support.