Referência de erro do Cloud EKM

Este tópico ajuda você a interpretar e resolver erros que podem ocorrer ao usar o Cloud External Key Manager (Cloud EKM).

Estrutura de um erro

A estrutura das mensagens de erro oferece a maior granularidade possível para ajudar a diagnosticar e troubleshoot o problema. Os erros são retornados em uma estrutura google.rpc.Status. Dentro dessa estrutura:

O campo google.rpc.Status.code mostra a categoria ampla do erro.
O campo google.rpc.Status.message mostra uma mensagem legível, incluindo detalhes sobre a ação específica que foi tentada e sugestões dependentes do contexto para resolver o erro.
Se google.rpc.Status.code for FAILED_PRECONDITION, a estrutura google.rpc.PreconditionFailure será legível por máquina. Ele contém duas estruturas violation.
- violation[0] contém informações sobre o estado da chave do Cloud EKM.
- violation[1] contém informações sobre a tentativa de contato com o sistema de gerenciamento de chaves externas do parceiro.
  
  O violation[1].type contém informações sobre o tipo de erro. O Cloud EKM chama essas informações de "domínio do erro".
  
  Se os erros persistirem, entre em contato com o suporte do parceiro de gerenciamento de chaves externas.

Nesta referência, as mensagens em google.rpc.Status.message são truncadas para facilitar a leitura. A parte truncada inclui informações como o URI da chave externa ou o caminho da chave.

Solução de problemas

Os erros que ocorrem ao usar o Cloud EKM podem ser causados por problemas com erros de entrada, Cloud EKM, sistema de gerenciamento de chaves externas do parceiro, comunicações entre eles ou outros fatores. Leia informações específicas de solução de problemas na seção referente a cada tipo de erro.

Dependendo do tipo de erro, talvez seja necessário entrar em contato com o suporte do Cloud EKM ou do sistema de gerenciamento de chaves externas do parceiro.

Se o erro não estiver listado nas tabelas abaixo, consulte Resolver problemas do EKM usando erros de VPC.

Erros de entrada

Siga as orientações da solução de problemas no campo google.rpc.Status.message do erro. Se o problema persistir, entre em contato com o suporte do Google Cloud.

Salvo indicação em contrário, os erros desta seção têm google.rpc.Status.code de FAILED_PRECONDITION.

`google.rpc.Status.message`	`violation[1].type` (domínio do erro)	Solução de problemas
`Permission was denied when accessing the EKM_ELEMENT.`	`EXTERNAL_PERMISSION_DENIED`	Quando `EKM_ELEMENT` é `key`, o Cloud EKM também desativa a versão da chave. Conceda as permissões apropriadas no gerenciador de chaves externo e tente novamente girando a chave do Cloud EKM. Quando `EKM_ELEMENT` for `crypto space` ou `EKM host`, conceda o papel ou as permissões apropriadas à conta de serviço e tente novamente.
`Could not find a EKM_ELEMENT` ou `Could not query EKM host.`	`EXTERNAL_NOT_FOUND`	Quando `EKM_ELEMENT` for `key`, verifique se o URI da chave externa ou o caminho da chave está correto. Quando `EKM_ELEMENT` for `crypto space`, verifique se o caminho do espaço da criptografia está correto. Quando não for possível consultar um `EKM host`, verifique se o nome do host do EKM está correto. Se estiverem escritos corretamente, entre em contato com o suporte do sistema de gerenciamento de chaves externas do parceiro.
`Key URI has invalid format.`	`EXTERNAL_KEY_URI_INVALID`	Verifique se o URI da chave na solicitação está correto e tente de novo girando a chave do Cloud EKM.
`Key URI host is not supported.`	`EXTERNAL_KEY_HOST_NOT_WHITELISTED`	Verifique se o URI da chave está correto. Se você estiver operando sua própria implantação do sistema de gerenciamento de chaves externas do parceiro, entre em contato com o suporte do Google Cloud. Caso contrário, entre em contato com o suporte do sistema de gerenciamento de chaves externas do parceiro.
`Could not resolve the domain name for EKM_ELEMENT.`	`DNS`	Verifique se o URI, o caminho, o espaço de criptografia ou o nome do host do EKM da chave estão corretos. Se estiver, entre em contato com o suporte do sistema de gerenciamento de chaves externas do parceiro.

Erros que podem ser repetidos

Siga as orientações da solução de problemas no campo google.rpc.Status.message do erro. Se você observar tempos limite ou erros de rede frequentes, verifique se a localização geográfica das chaves do Cloud EKM o mais próximo possível da região usada para as chaves externas. Se o problema persistir, entre em contato com o suporte do parceiro de gerenciamento de chaves externo.

Salvo indicação em contrário, os erros nesta seção têm google.rpc.Status.code de FAILED_PRECONDITION. O EKM_ELEMENT pode ser um destes valores: key, crypto space ou EKM host.

`google.rpc.Status.message`	`violation[1].type` (domínio do erro)
`Throttled when trying to access key URI.`	`EXTERNAL_RESOURCE_EXHAUSTED`
`Could not reach the EKM_ELEMENT due to an external networking error.`	`UNREACHABLE_NETWORK`
`Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded.`	`OVERLOADED_EKM`
`Timed out when trying to access the EKM_ELEMENT.`	`TIMEOUT`
Esse erro geralmente ocorre quando o EKM está lento demais para responder. A lentidão pode ser causada por latências de rede muito altas ou quando o EKM recebe mais solicitações do que consegue processar.	`REQUEST_CANCELLED`

Erros do sistema de gerenciamento de chaves externas

Se você encontrar esses erros e eles persistirem, entre em contato com o suporte do parceiro de gerenciamento de chaves externo.

Salvo indicação em contrário, os erros nesta seção têm google.rpc.Status.code de FAILED_PRECONDITION. O EKM_ELEMENT pode ser um destes valores: key, crypto space ou EKM host.

`google.rpc.Status.message`	`violation[1].type` (domínio do erro)
`Could not validate the TLS server certificate for the EKM_ELEMENT.`	`TLS_CERT`
`Got garbled or unusable response when trying to access the EKM_ELEMENT.`	`UNEXPECTED_RESPONSE`
`External server error when trying to access the EKM_ELEMENT.`	`EXTERNAL_SERVER_ERROR`
`The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.` `EKM_API` pode ser `AsymmetricSign`, `CheckCryptoSpacePermissions`, `CreateKey`, `Decrypt`, `DestroyKey`, `Encrypt`, `GetInfo` ou `GetPublicKey`	`EXTERNAL_NOT_IMPLEMENTED`
`Got unexpected error when trying to access the EKM_ELEMENT.`	`UNEXPECTED_ERROR`
`Decryption failed: The EKM reports that decryption failed.` Isso significa que o URI da chave é válido, mas o sistema do parceiro de gerenciamento de chaves externas não conseguiu descriptografar o blob encapsulado ou os dados autenticados extras (AAD, na sigla em inglês). `google.rpc.Status.code` é `INVALID_ARGUMENT`.	`DECRYPTION_FAILED`

Como receber suporte

Se você tiver um erro não listado nesta referência, entre em contato com o suporte do Google Cloud.