Cette rubrique vous aide à interpréter et à résoudre les erreurs pouvant survenir lors de l'utilisation de Cloud External Key Manager (Cloud EKM).
Structure d'une erreur
La structure des messages d'erreur fournit le plus de précisions possibles pour vous aider à diagnostiquer et à troubleshoot le problème. Les erreurs sont renvoyées dans une structure google.rpc.Status. Au sein de cette structure :
- Le champ
google.rpc.Status.codeindique la catégorie générale de l'erreur. - Le champ
google.rpc.Status.messageaffiche un message humainement lisible, comprenant des détails sur l'action spécifique qui a été tentée et des suggestions dépendantes du contexte pour résoudre l'erreur. Si le code d'état
google.rpc.Status.codeestFAILED_PRECONDITION, la structuregoogle.rpc.PreconditionFailureest lisible par une machine. Il contient deux structuresviolation.violation[0]contient des informations sur l'état de la clé Cloud EKM.violation[1]contient des informations sur la tentative de contact du système partenaire de gestion des clés externes.Le
violation[1].typecontient des informations sur le type d'erreur. Cloud EKM fait référence à cette information comme étant le "domaine d'erreur".Si ces erreurs persistent, contactez l'assistance du partenaire de gestion des clés externes.
Dans cette documentation de référence, les messages de google.rpc.Status.message sont tronqués pour des raisons de lisibilité. La partie tronquée inclut des informations telles que l'URI ou le chemin d'accès de la clé externe.
Dépannage
Les erreurs qui se produisent lors de l'utilisation de Cloud EKM peuvent être dues à des erreurs d'entrée, à Cloud EKM, au système partenaire de gestion de clés externe, aux communications entre eux ou à d'autres facteurs. Vous pouvez lire des informations de dépannage spécifiques dans la section dédiée à chaque type d'erreur.
Selon le type d'erreur, vous devrez peut-être contacter l'assistance Cloud EKM ou l'assistance du système partenaire de gestion des clés externes.
Si votre erreur ne figure pas dans les tableaux ci-dessous, consultez la section Résoudre les problèmes liés à EKM via des erreurs de VPC.
Erreurs d'entrée
Suivez les conseils de dépannage présents dans le champ google.rpc.Status.message de l'erreur. Si le problème persiste, contactez l'assistance Google Cloud.
Sauf indication contraire, les erreurs de cette section ont un code d'état google.rpc.Status.code dont la valeur est FAILED_PRECONDITION.
google.rpc.Status.message |
violation[1].type(Domaine d'erreur) |
Dépannage |
|---|---|---|
Permission was denied when accessing the EKM_ELEMENT. |
EXTERNAL_PERMISSION_DENIED |
Si EKM_ELEMENT correspond à key, Cloud EKM désactive également la version de clé. Accordez les autorisations appropriées dans votre gestionnaire de clés externe, puis réessayez en effectuant une rotation de la clé Cloud EKM.Lorsque EKM_ELEMENT est défini sur crypto space ou EKM host, accordez le rôle ou les autorisations appropriés au compte de service, puis réessayez. |
Could not find a EKM_ELEMENT ou Could not query EKM host. |
EXTERNAL_NOT_FOUND |
Lorsque EKM_ELEMENT est défini sur key, vérifiez que l'URI de la clé externe ou le chemin d'accès de la clé est correct.Lorsque EKM_ELEMENT est défini sur crypto space, vérifiez que le chemin d'accès à l'espace cryptographique est correct. Lorsqu'un EKM host ne peut pas être interrogé, vérifiez que le nom d'hôte EKM est correct. S'ils sont orthographiés correctement, contactez l'assistance du système partenaire de gestion des clés externes. |
Key URI has invalid format. |
EXTERNAL_KEY_URI_INVALID |
Vérifiez que l'URI de la clé dans cette requête est correct, puis réessayez en effectuant une rotation de la clé Cloud EKM. |
Key URI host is not supported. |
EXTERNAL_KEY_HOST_NOT_WHITELISTED |
Vérifiez que l'URI de la clé est correct. Si vous exploitez votre propre déploiement du système partenaire de gestion des clés externes, contactez l'assistance Google Cloud. Sinon, contactez l'assistance du système partenaire de gestion des clés externes. |
Could not resolve the domain name for EKM_ELEMENT. |
DNS |
Vérifiez que l'URI de la clé, le chemin d'accès de la clé, l'espace de chiffrement ou le nom d'hôte EKM sont corrects. Si c'est le cas, contactez l'assistance du système partenaire de gestion des clés externes. |
Erreurs récupérables
Suivez les conseils de dépannage présents dans le champ google.rpc.Status.message de l'erreur. Si vous constatez des délais d'inactivité ou des erreurs réseau fréquents, assurez-vous que l'emplacement géographique de vos clés Cloud EKM est aussi proche que possible de la région que vous utilisez pour les clés externes. Si le problème persiste, contactez l'assistance du partenaire externe de gestion des clés.
Sauf indication contraire, les erreurs de cette section ont la valeur google.rpc.Status.code de FAILED_PRECONDITION. EKM_ELEMENT peut être l'une des valeurs suivantes: key, crypto space ou EKM host.
google.rpc.Status.message |
violation[1].type(Domaine d'erreur) |
|---|---|
Throttled when trying to access key URI. |
EXTERNAL_RESOURCE_EXHAUSTED |
Could not reach the EKM_ELEMENT due to an external networking error. |
UNREACHABLE_NETWORK |
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. |
OVERLOADED_EKM |
Timed out when trying to access the EKM_ELEMENT. |
TIMEOUT |
| Cette erreur se produit généralement lorsque l'EKM est trop lent pour répondre. Cette lenteur peut être imputable au fait que l'EKM reçoit plus de requêtes qu'il ne peut en gérer, ou encore à un temps de latence réseau trop élevé. | REQUEST_CANCELLED |
Erreurs du système de gestion des clés externes
Si ces erreurs persistent, contactez l'assistance du partenaire externe de gestion des clés.
Sauf indication contraire, les erreurs de cette section ont la valeur google.rpc.Status.code de FAILED_PRECONDITION. EKM_ELEMENT peut être l'une des valeurs suivantes: key, crypto space ou EKM host.
google.rpc.Status.message |
violation[1].type(Domaine d'erreur) |
|---|---|
Could not validate the TLS server certificate for the EKM_ELEMENT. |
TLS_CERT |
Got garbled or unusable response when trying to access the EKM_ELEMENT. |
UNEXPECTED_RESPONSE |
External server error when trying to access the EKM_ELEMENT. |
EXTERNAL_SERVER_ERROR |
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_API peut être AsymmetricSign, CheckCryptoSpacePermissions, CreateKey, Decrypt, DestroyKey, Encrypt, GetInfo ou GetPublicKey |
EXTERNAL_NOT_IMPLEMENTED |
Got unexpected error when trying to access the EKM_ELEMENT. |
UNEXPECTED_ERROR |
Decryption failed: The EKM reports that decryption failed.Cela signifie que l'URI de la clé est valide, mais que le système partenaire de gestion des clés externes n'a pas réussi à déchiffrer le blob encapsulé ou les données authentifiées supplémentaires (AAD). Le code d'état google.rpc.Status.code est INVALID_ARGUMENT. |
DECRYPTION_FAILED |
Assistance
Si vous rencontrez une erreur non présente dans cette documentation de référence, contactez l'assistance Google Cloud.