In diesem Thema erfahren Sie, wie Sie Fehler interpretieren und beheben, die bei der Verwendung von Cloud External Key Manager (Cloud EKM) auftreten können.
Struktur eines Fehlers
Die Struktur der Fehlermeldungen bietet so viel Detaillierungsgrad wie möglich, um das Problem zu diagnostizieren und zu beheben. Fehler werden in einer google.rpc.Status-Struktur zurückgegeben. Innerhalb dieser Struktur gilt:
- Das Feld
google.rpc.Status.codezeigt die allgemeine Kategorie des Fehlers an. - Das Feld
google.rpc.Status.messageenthält eine für Menschen lesbare Nachricht mit Details zur spezifischen Aktion, die versucht wurde, und kontextabhängige Vorschläge zur Fehlerbehebung. Wenn
google.rpc.Status.codeFAILED_PRECONDITIONist, ist diegoogle.rpc.PreconditionFailure-Struktur maschinenlesbar. Sie enthält zweiviolation-Strukturen.violation[0]enthält Informationen zum Status des Cloud EKM-Schlüssels.violation[1]enthält Informationen zum Versuch, das Partnersystem für die externe Schlüsselverwaltung zu kontaktieren.violation[1].typeenthält Informationen zum Fehlertyp. Cloud EKM bezieht sich auf diese Informationen als "Fehlerdomain".Wenn diese Fehler weiterhin auftreten, wenden Sie sich an den Support für den Partner für die externe Schlüsselverwaltung.
In dieser Referenz werden die Nachrichten in google.rpc.Status.message zur besseren Lesbarkeit gekürzt. Der abgeschnittene Teil enthält Informationen wie den externen Schlüssel-URI oder den Schlüsselpfad.
Fehlerbehebung
Fehler bei der Verwendung von Cloud EKM können durch Probleme mit Eingabefehlern, Cloud EKM, dem Partnersystem für die externe Schlüsselverwaltung, der Kommunikation zwischen ihnen oder anderen Faktoren verursacht werden. Weitere Informationen zur Fehlerbehebung finden Sie im Abschnitt zu den einzelnen Fehlertypen.
Je nach Art des Fehlers müssen Sie sich möglicherweise an den Support oder den Support für das externe Schlüsselverwaltungs-Partnersystem wenden.
Wenn Ihr Fehler in den folgenden Tabellen nicht aufgeführt ist, lesen Sie den Hilfeartikel Fehlerbehebung bei EKM über VPC.
Eingabefehler
Folgen Sie der Anleitung zur Fehlerbehebung im Feld google.rpc.Status.message des Fehlers. Wenn das Problem weiterhin besteht, wenden Sie sich an den Google Cloud-Support.
Wenn nicht anders angegeben, haben die Fehler in diesem Abschnitt den google.rpc.Status.code von FAILED_PRECONDITION.
google.rpc.Status.message |
violation[1].type(Fehlerdomain) |
Fehlerbehebung |
|---|---|---|
Permission was denied when accessing the EKM_ELEMENT. |
EXTERNAL_PERMISSION_DENIED |
Wenn EKM_ELEMENT = key ist, deaktiviert Cloud EKM auch die Schlüsselversion. Gewähren Sie die entsprechenden Berechtigungen in Ihrem externen Schlüsselverwaltungssystem. Versuchen Sie es dann noch einmal und rotieren Sie dabei den Cloud EKM-Schlüssel.Wenn EKM_ELEMENT crypto space oder EKM host ist, weisen Sie dem Dienstkonto die entsprechende Rolle oder Berechtigungen zu und versuchen Sie es noch einmal. |
Could not find a EKM_ELEMENT oder Could not query EKM host. |
EXTERNAL_NOT_FOUND |
Wenn EKM_ELEMENT key ist, prüfen Sie, ob der URI des externen Schlüssels oder der Schlüsselpfad korrekt ist.Wenn EKM_ELEMENT crypto space ist, prüfen Sie, ob der Pfad zum Krypto-Speicherort korrekt ist. Wenn eine EKM host nicht abgefragt werden kann, prüfen Sie, ob der EKM-Hostname korrekt ist. Wenn die Schreibweise korrekt ist, wenden Sie sich an den Support für das externe Schlüsselverwaltungs-Partnersystem. |
Key URI has invalid format. |
EXTERNAL_KEY_URI_INVALID |
Prüfen Sie, ob der Schlüssel-URI in dieser Anfrage korrekt ist. Versuchen Sie es dann noch einmal und rotieren Sie dabei den Cloud-EKM-Schlüssel. |
Key URI host is not supported. |
EXTERNAL_KEY_HOST_NOT_WHITELISTED |
Prüfen Sie, ob der URI des externen Schlüssels korrekt ist. Wenn Sie Ihre eigene Bereitstellung des externen Schlüsselverwaltungs-Partnersystems betreiben, wenden Sie sich an den Google Cloud-Support. Wenden Sie sich andernfalls an den Support für das externe Schlüsselverwaltungs-Partnersystem. |
Could not resolve the domain name for EKM_ELEMENT. |
DNS |
Prüfen Sie, ob der URI des Schlüssels, der Schlüsselpfad, der Krypto-Speicherort oder der EKM-Hostname korrekt ist. Wenn dies der Fall ist, wenden Sie sich an den Support für das externe Schlüsselverwaltungs-Partnersystem. |
Behebbare Fehler
Folgen Sie der Anleitung zur Fehlerbehebung im Feld google.rpc.Status.message des Fehlers. Wenn Zeitüberschreitungen oder Netzwerkfehler auftreten, achten Sie darauf, dass sich der geografische Standort Ihrer Cloud EKM-Schlüssel so nah wie möglich an der Region befindet, die Sie für die externen Schlüssel verwenden. Bleibt das Problem bestehen, wenden Sie sich an den Support für den Partner für die externe Schlüsselverwaltung.
Sofern nicht anders angegeben, haben die Fehler in diesem Abschnitt den google.rpc.Status.code von FAILED_PRECONDITION. EKM_ELEMENT kann einen der folgenden Werte haben: key, crypto space oder EKM host.
google.rpc.Status.message |
violation[1].type(Fehlerdomain) |
|---|---|
Throttled when trying to access key URI. |
EXTERNAL_RESOURCE_EXHAUSTED |
Could not reach the EKM_ELEMENT due to an external networking error. |
UNREACHABLE_NETWORK |
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. |
OVERLOADED_EKM |
Timed out when trying to access the EKM_ELEMENT. |
TIMEOUT |
| Dieser Fehler tritt in der Regel auf, wenn der EKM zu langsam reagiert. Das kann daran liegen, dass der EKM mehr Anfragen erhält, als er verarbeiten kann, oder dass die Netzwerklatenz zu hoch ist. | REQUEST_CANCELLED |
Fehler im externen Schlüsselverwaltungssystem
Wenn diese Fehler auftreten und sie weiterhin auftreten, wenden Sie sich an den Support für den Partner der externen Schlüsselverwaltung.
Sofern nicht anders angegeben, haben die Fehler in diesem Abschnitt den google.rpc.Status.code von FAILED_PRECONDITION. EKM_ELEMENT kann einen der folgenden Werte haben: key, crypto space oder EKM host.
google.rpc.Status.message |
violation[1].type(Fehlerdomain) |
|---|---|
Could not validate the TLS server certificate for the EKM_ELEMENT. |
TLS_CERT |
Got garbled or unusable response when trying to access the EKM_ELEMENT. |
UNEXPECTED_RESPONSE |
External server error when trying to access the EKM_ELEMENT. |
EXTERNAL_SERVER_ERROR |
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_API kann einer der folgenden Werte sein: AsymmetricSign, CheckCryptoSpacePermissions, CreateKey, Decrypt, DestroyKey, Encrypt, GetInfo oder GetPublicKey. |
EXTERNAL_NOT_IMPLEMENTED |
Got unexpected error when trying to access the EKM_ELEMENT. |
UNEXPECTED_ERROR |
Decryption failed: The EKM reports that decryption failed.Das bedeutet, dass der Schlüssel-URI gültig ist, aber das externe Partnersystem für die Schlüsselverwaltung den verpackten Blob oder zusätzliche authentifizierte Daten (AAD) nicht entschlüsseln konnte. google.rpc.Status.code ist INVALID_ARGUMENT. |
DECRYPTION_FAILED |
Support
Wenn ein Fehler auftritt, der in dieser Referenz nicht aufgeführt ist, wenden Sie sich an den Google Cloud-Support.