Referencia de error de Cloud EKM

Este tema te ayuda a interpretar y solucionar errores que pueden ocurrir cuando usas Cloud External Key Manager (Cloud EKM).

Estructura de un error

La estructura de los mensajes de error proporciona el mayor nivel de detalle posible para ayudarte a diagnosticar y solucionar el problema. Los errores se muestran en una estructura google.rpc.Status. Dentro de esa estructura, sucede lo siguiente:

  • El campo google.rpc.Status.code muestra la categoría amplia del error.
  • El campo google.rpc.Status.message muestra un mensaje legible, incluidos los detalles sobre la acción específica que se intentó y las sugerencias dependientes del contexto para solucionar el error.
  • Si google.rpc.Status.code es FAILED_PRECONDITION, la estructura google.rpc.PreconditionFailure se puede leer por máquina. Contiene dos estructuras violation.

    • violation[0] contiene información sobre el estado de la clave de Cloud EKM.
    • violation[1] contiene información sobre el intento de contactar al sistema de administración de claves externas.

      El campo violation[1].type contiene información sobre el tipo de error. Cloud EKM hace referencia a esta información como el “dominio de error”.

      Si estos errores persisten, comunícate con el equipo de asistencia del socio de administración de claves externas.

En esta referencia, los mensajes en google.rpc.Status.message se truncan para facilitar la lectura. La parte truncada incluye información como el URI de la clave externa o la ruta de acceso a la clave.

Soluciona problemas

Los errores que ocurren cuando se usa Cloud EKM pueden deberse a problemas con los errores de entrada, Cloud EKM, el sistema de socios de administración de claves externas, las comunicaciones entre ellos o cualquier otro factor. Puedes leer información específica sobre la solución de problemas en la sección para cada tipo de error.

Según el tipo de error, es posible que debas comunicarte con la asistencia de Cloud EKM o la asistencia para el sistema de administración de claves externas.

Si tu error no aparece en las tablas que se indican a continuación, consulta Cómo solucionar problemas de EKM a través de errores de VPC.

Errores de entrada

Sigue las sugerencias para solucionar problemas en el campo google.rpc.Status.message del error. Si el problema persiste, comunícate con el equipo de asistencia de Google Cloud.

A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Dominio de error)
Soluciona problemas
Permission was denied when accessing the EKM_ELEMENT. EXTERNAL_PERMISSION_DENIED Cuando EKM_ELEMENT es key, Cloud EKM también inhabilita la versión de la clave. Otorga los permisos adecuados a tu administrador de claves externas y vuelve a rotar la clave de Cloud EKM para intentarlo nuevamente.
Cuando EKM_ELEMENT sea crypto space o EKM host, otorga el rol o los permisos adecuados a la cuenta de servicio y, luego, vuelve a intentarlo.
Could not find a EKM_ELEMENT o Could not query EKM host. EXTERNAL_NOT_FOUND Cuando EKM_ELEMENT sea key, verifica que el URI de la clave externa o la ruta de acceso de la clave sean correctos.
Cuando EKM_ELEMENT sea crypto space, verifica que la ruta de acceso del espacio de criptografía sea correcta.
Cuando no se puede consultar un EKM host, verifica que el nombre de host de EKM sea correcto.
Si están escritos correctamente, comunícate con el equipo de asistencia del sistema de administración de claves externas.
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID Comprueba que el URI de la clave en esta solicitud sea correcto y vuelve a rotar la clave de Cloud EKM.
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED Verifica que el URI de la clave sea correcto. Si operas tu propia implementación del sistema de administración de claves externas, comunícate con asistencia de Google Cloud. De lo contrario, comunícate con el equipo de asistencia del sistema de administración de claves externas.
Could not resolve the domain name for EKM_ELEMENT. DNS Verifica que el URI de la clave, la ruta de la clave, el espacio criptográfico o el nombre de host de EKM sean correctos. Si es así, comunícate con el equipo de asistencia del sistema de administración de claves externas.

Errores que se pueden reintentar

Sigue las sugerencias para solucionar problemas en el campo google.rpc.Status.message del error. Si observas tiempos de espera agotados frecuentes o errores de red, asegúrate de que la ubicación geográfica de tus claves de Cloud EKM esté lo más cerca posible de la región que usas para las claves externas. Si el problema persiste, comunícate con el equipo de asistencia del socio de administración de claves externas.

A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION. EKM_ELEMENT puede ser uno de estos valores: key, crypto space o EKM host.

google.rpc.Status.message violation[1].type
(Dominio de error)
Throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach the EKM_ELEMENT due to an external networking error. UNREACHABLE_NETWORK
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. OVERLOADED_EKM
Timed out when trying to access the EKM_ELEMENT. TIMEOUT
Este error suele ocurrir cuando el EKM es demasiado lento para responder. La lentitud puede deberse a que el EKM recibe más solicitudes de las que puede controlar o a que la latencia de la red es demasiado alta. REQUEST_CANCELLED

Errores del sistema de administración de claves externas

Si encuentras estos errores y estos persisten, comunícate con el equipo de asistencia del socio de administración de claves externas.

A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION. EKM_ELEMENT puede ser uno de estos valores: key, crypto space o EKM host.

google.rpc.Status.message violation[1].type
(Dominio de error)
Could not validate the TLS server certificate for the EKM_ELEMENT. TLS_CERT
Got garbled or unusable response when trying to access the EKM_ELEMENT. UNEXPECTED_RESPONSE
External server error when trying to access the EKM_ELEMENT. EXTERNAL_SERVER_ERROR
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_API puede ser uno de los siguientes: AsymmetricSign, CheckCryptoSpacePermissions, CreateKey, Decrypt, DestroyKey, Encrypt, GetInfo o GetPublicKey
EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access the EKM_ELEMENT. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
Esto significa que el URI de la clave es válido, pero el sistema de administración de claves externas no pudo desencriptar el blob unido o los datos autenticados adicionales (AAD).
google.rpc.Status.code es INVALID_ARGUMENT.
DECRYPTION_FAILED

Obtén asistencia

Si experimentas un error que no aparece en esta referencia, comunícate con el equipo de asistencia de Google Cloud.