Cloud EKM エラー リファレンス

このトピックでは、Cloud External Key Manager(Cloud EKM)の使用時に発生する可能性のあるエラーの解釈とトラブルシューティングについて説明します。

エラーの構造

エラー メッセージの構造は、問題の診断とトラブルシューティングに役立つよう、可能な限りの粒度で示されます。エラーは google.rpc.Status 構造で返されます。構造内:

  • google.rpc.Status.code フィールドには、エラーの幅広いカテゴリが表示されます。
  • google.rpc.Status.message フィールドには、人が読めるメッセージが表示されます。試行された特定のアクションの詳細や、エラーのトラブルシューティングに役立つコンテキスト依存の提案も表示されます。
  • google.rpc.Status.codeFAILED_PRECONDITION の場合、google.rpc.PreconditionFailure 構造はマシンで読み取り可能です。2 つの violation 構造が含まれます。

    • violation[0] には、Cloud EKM 鍵の状態に関する情報が含まれています。
    • violation[1] には、外部鍵管理パートナー システムへの問い合わせに関する情報が含まれます。

      violation[1].type には、エラーの種類に関する情報が含まれます。Cloud EKM ではこの情報を「エラードメイン」と呼びます。

      これらのエラーが解決しない場合は、外部鍵管理パートナーのサポートにお問い合わせください。

このリファレンスでは、読みやすくするために google.rpc.Status.message 内のメッセージを切り捨てています。切り捨てられた部分には、外部鍵の URI や鍵のパスなどの情報が含まれています。

トラブルシューティング

Cloud EKM の使用中に発生するエラーは、入力エラー、Cloud EKM、外部鍵管理パートナー システム、システム間の通信やその他の要因の問題によって引き起こされることがあります。エラータイプごとのセクションに個別にトラブルシューティング情報が記載されています。

エラータイプに応じて、Cloud EKM サポートまたは外部鍵管理パートナー システムのサポートにお問い合わせください。

下の表にエラーが表示されない場合は、VPC エラーによる EKM のトラブルシューティングをご覧ください。

入力エラー

エラーの google.rpc.Status.message フィールドのトラブルシューティングのアドバイスに従います。問題が解決されない場合は、Google Cloud サポートまでご連絡ください。

特に明記されない限り、このセクションのエラーは google.rpc.Status.codeFAILED_PRECONDITION になります。

google.rpc.Status.message violation[1].type
(エラードメイン)
トラブルシューティング
Permission was denied when accessing the EKM_ELEMENT. EXTERNAL_PERMISSION_DENIED EKM_ELEMENTkey の場合、Cloud EKM は鍵バージョンも無効にします。外部鍵マネージャーで適切な権限を付与してから、Cloud EKM 鍵をローテーションして、もう一度お試しください。
EKM_ELEMENTcrypto space または EKM host の場合は、サービス アカウントに適切なロールまたは権限を付与してから、もう一度お試しください。
Could not find a EKM_ELEMENT または Could not query EKM host. EXTERNAL_NOT_FOUND EKM_ELEMENTkey の場合、外部鍵の URI または鍵のパスが正しいことを確認してください。
EKM_ELEMENTcrypto space の場合、暗号空間のパスが正しいことを確認してください。
EKM host をクエリできない場合は、EKM ホスト名が正しいことを確認してください。
スペルが正しい場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID このリクエストの鍵 URI が正しいことを確認してから、Cloud EKM 鍵をローテーションして、もう一度お試しください。
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED 鍵の URI が正しいことを確認します。外部鍵管理パートナー システムの独自のデプロイを運用している場合は、Google Cloud サポートにお問い合わせください。それ以外の場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。
Could not resolve the domain name for EKM_ELEMENT. DNS 鍵 URI、鍵パス、暗号空間、EKM ホスト名が正しいことを確認してください。正しい場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。

再試行可能なエラー

エラーの google.rpc.Status.message フィールドのトラブルシューティングのアドバイスに従います。タイムアウトまたはネットワーク エラーが頻繁に発生する場合は、Cloud EKM 鍵の地理的なロケーションが外部鍵に使用するリージョンに可能な限り近いことを確認してください。問題が解決しない場合は、外部鍵管理パートナーのサポートにお問い合わせください。

特に明記されない限り、このセクションのエラーは google.rpc.Status.codeFAILED_PRECONDITION になります。EKM_ELEMENT は、keycrypto spaceEKM host のいずれかの値になります。

google.rpc.Status.message violation[1].type
(エラードメイン)
Throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach the EKM_ELEMENT due to an external networking error. UNREACHABLE_NETWORK
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. OVERLOADED_EKM
Timed out when trying to access the EKM_ELEMENT. TIMEOUT
このエラーは通常、EKM の応答が遅い場合に発生します。処理速度の低下は、EKM が処理可能な量を超えるリクエストを受信するか、ネットワークのレイテンシが大きすぎることが原因である可能性があります。 REQUEST_CANCELLED

外部鍵管理システムのエラー

これらのエラーが発生し、継続する場合は、外部鍵管理パートナーのサポートにお問い合わせください。

特に明記されない限り、このセクションのエラーは google.rpc.Status.codeFAILED_PRECONDITION になります。EKM_ELEMENT は、keycrypto spaceEKM host のいずれかの値になります。

google.rpc.Status.message violation[1].type
(エラードメイン)
Could not validate the TLS server certificate for the EKM_ELEMENT. TLS_CERT
Got garbled or unusable response when trying to access the EKM_ELEMENT. UNEXPECTED_RESPONSE
External server error when trying to access the EKM_ELEMENT. EXTERNAL_SERVER_ERROR
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_API は、AsymmetricSignCheckCryptoSpacePermissionsCreateKeyDecryptDestroyKeyEncryptGetInfoGetPublicKey のいずれかです。
EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access the EKM_ELEMENT. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
これは、鍵 URI が有効であっても、外部の鍵管理パートナー システムがラップされた blob または追加認証データ(AAD)を復号できなかったことを意味します。
google.rpc.Status.codeINVALID_ARGUMENT です。
DECRYPTION_FAILED

サポートの利用

このリファレンスに記載されていないエラーが発生した場合は、Google Cloud サポートにお問い合わせください。