In diesem Thema erfahren Sie, wie Sie Fehler interpretieren und beheben, die bei der Verwendung von Cloud External Key Manager (Cloud EKM) auftreten können.
Struktur eines Fehlers
Die Struktur der Fehlermeldungen bietet so viel Detaillierungsgrad wie möglich, um das Problem zu diagnostizieren und zu troubleshoot. Fehler werden in einer google.rpc.Status-Struktur zurückgegeben. Innerhalb dieser Struktur gilt:
- Das Feld
google.rpc.Status.codezeigt die allgemeine Kategorie des Fehlers an. - Das Feld
google.rpc.Status.messageenthält eine für Menschen lesbare Nachricht mit Details zur spezifischen Aktion, die versucht wurde, und kontextabhängige Vorschläge zur Fehlerbehebung. Wenn
google.rpc.Status.codeFAILED_PRECONDITIONist, ist diegoogle.rpc.PreconditionFailure-Struktur maschinenlesbar. Sie enthält zweiviolation-Strukturen.violation[0]enthält Informationen zum Status des Cloud EKM-Schlüssels.violation[1]enthält Informationen zum Versuch, das Partnersystem für die externe Schlüsselverwaltung zu kontaktieren.violation[1].typeenthält Informationen zum Fehlertyp. Cloud EKM bezieht sich auf diese Informationen als "Fehlerdomain".Wenn diese Fehler weiterhin auftreten, wenden Sie sich an den Support für den Partner für die externe Schlüsselverwaltung.
In dieser Referenz werden die Nachrichten im google.rpc.Status.message zur besseren Lesbarkeit abgeschnitten. Der abgeschnittene Teil enthält Informationen wie den externen Schlüssel-URI oder den Schlüsselpfad.
Fehlerbehebung
Fehler, die bei der Verwendung von Cloud EKM auftreten, können durch Probleme mit Eingabefehlern, Cloud EKM, dem Partnersystem für die externe Schlüsselverwaltung, der Kommunikation zwischen ihnen oder anderen Faktoren verursacht werden. Weitere Informationen zur Fehlerbehebung finden Sie im Abschnitt zu den einzelnen Fehlertypen.
Je nach Art des Fehlers müssen Sie sich möglicherweise an den Support oder den Support für das externe Schlüsselverwaltungs-Partnersystem wenden.
Wenn Ihr Fehler in den Tabellen unten nicht aufgeführt ist, lesen Sie die Informationen unter Fehlerbehebung bei EKM-über-VPC-Fehlern.
Eingabefehler
Folgen Sie der Anleitung zur Fehlerbehebung im Feld google.rpc.Status.message des Fehlers. Wenn das Problem weiterhin besteht, wenden Sie sich an den Google Cloud-Support.
Wenn nicht anders angegeben, haben die Fehler in diesem Abschnitt den google.rpc.Status.code von FAILED_PRECONDITION.
google.rpc.Status.message |
violation[1].type(Fehlerdomain) |
Fehlerbehebung |
|---|---|---|
Permission was denied when accessing the EKM_ELEMENT. |
EXTERNAL_PERMISSION_DENIED |
Wenn EKM_ELEMENT den Wert key hat, deaktiviert Cloud EKM auch die Schlüsselversion. Erteilen Sie die entsprechenden Berechtigungen in Ihrem externen Schlüsselverwaltungssystem und versuchen Sie es dann noch einmal, indem Sie den Cloud EKM-Schlüssel rotieren.Wenn EKM_ELEMENT den Wert crypto space oder EKM host hat, weisen Sie dem Dienstkonto die entsprechende Rolle oder die entsprechenden Berechtigungen zu und versuchen Sie es dann noch einmal. |
Could not find a EKM_ELEMENT oder Could not query EKM host. |
EXTERNAL_NOT_FOUND |
Wenn EKM_ELEMENT den Wert key hat, prüfen Sie, ob der URI des externen Schlüssels oder der Schlüsselpfad korrekt ist.Wenn EKM_ELEMENT den Wert crypto space hat, prüfen Sie, ob der Crypto-Space-Pfad korrekt ist. Wenn ein EKM host nicht abgefragt werden kann, prüfen Sie, ob der EKM-Hostname korrekt ist. Wenn sie richtig geschrieben sind, wenden Sie sich an den Support des Partnersystems für die externe Schlüsselverwaltung. |
Key URI has invalid format. |
EXTERNAL_KEY_URI_INVALID |
Prüfen Sie, ob der Schlüssel-URI in dieser Anfrage korrekt ist. Versuchen Sie es noch einmal und rotieren Sie dabei den Cloud-EKM-Schlüssel. |
Key URI host is not supported. |
EXTERNAL_KEY_HOST_NOT_WHITELISTED |
Prüfen Sie, ob der URI des externen Schlüssels korrekt ist. Wenn Sie Ihre eigene Bereitstellung des externen Schlüsselverwaltungs-Partnersystems betreiben, wenden Sie sich an den Google Cloud-Support. Wenden Sie sich andernfalls an den Support für das externe Schlüsselverwaltungs-Partnersystem. |
Could not resolve the domain name for EKM_ELEMENT. |
DNS |
Prüfen Sie, ob der Schlüssel-URI, der Schlüsselpfad, der kryptografische Bereich oder der EKM-Hostname korrekt sind. Wenn dies der Fall ist, wenden Sie sich an den Support für das externe Schlüsselverwaltungs-Partnersystem. |
Behebbare Fehler
Folgen Sie der Anleitung zur Fehlerbehebung im Feld google.rpc.Status.message des Fehlers. Wenn Sie häufig Zeitüberschreitungen oder Netzwerkfehler feststellen, achten Sie darauf, dass sich der geografische Standort Ihrer Cloud EKM-Schlüssel so nahe wie möglich an der Region befindet, die Sie für die externen Schlüssel verwenden. Wenn das Problem weiterhin besteht, wenden Sie sich an den Support für den Partner für die externe Schlüsselverwaltung.
Wenn nicht anders angegeben, haben die Fehler in diesem Abschnitt google.rpc.Status.code von FAILED_PRECONDITION. EKM_ELEMENT kann einer der folgenden Werte sein: key, crypto space oder EKM host.
google.rpc.Status.message |
violation[1].type(Fehlerdomain) |
|---|---|
Throttled when trying to access key URI. |
EXTERNAL_RESOURCE_EXHAUSTED |
Could not reach the EKM_ELEMENT due to an external networking error. |
UNREACHABLE_NETWORK |
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. |
OVERLOADED_EKM |
Timed out when trying to access the EKM_ELEMENT. |
TIMEOUT |
| Dieser Fehler tritt in der Regel auf, wenn der EKM zu langsam reagiert. Das kann daran liegen, dass der EKM mehr Anfragen erhält, als er verarbeiten kann, oder dass die Netzwerklatenz zu hoch ist. | REQUEST_CANCELLED |
Fehler im externen Schlüsselverwaltungssystem
Wenn diese Fehler weiterhin auftreten, wenden Sie sich an den Support des Partners für die externe Schlüsselverwaltung.
Wenn nicht anders angegeben, haben die Fehler in diesem Abschnitt google.rpc.Status.code von FAILED_PRECONDITION. EKM_ELEMENT kann einer der folgenden Werte sein: key, crypto space oder EKM host.
google.rpc.Status.message |
violation[1].type(Fehlerdomain) |
|---|---|
Could not validate the TLS server certificate for the EKM_ELEMENT. |
TLS_CERT |
Got garbled or unusable response when trying to access the EKM_ELEMENT. |
UNEXPECTED_RESPONSE |
External server error when trying to access the EKM_ELEMENT. |
EXTERNAL_SERVER_ERROR |
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_API kann AsymmetricSign, CheckCryptoSpacePermissions, CreateKey, Decrypt, DestroyKey, Encrypt, GetInfo oder GetPublicKey sein. |
EXTERNAL_NOT_IMPLEMENTED |
Got unexpected error when trying to access the EKM_ELEMENT. |
UNEXPECTED_ERROR |
Decryption failed: The EKM reports that decryption failed.Dies bedeutet, dass der Schlüssel-URI gültig ist, das Partnersystem für die externe Schlüsselverwaltung jedoch verpackte Blobs oder zusätzliche authentifizierte Daten (Additional Authenticated Data, AAD) nicht entschlüsseln konnte. google.rpc.Status.code ist INVALID_ARGUMENT. |
DECRYPTION_FAILED |
Support
Wenn ein Fehler auftritt, der in dieser Referenz nicht aufgeführt ist, wenden Sie sich an den Google Cloud-Support.