Este tema te ayuda a interpretar y solucionar errores que pueden ocurrir cuando usas Cloud External Key Manager (Cloud EKM).
Estructura de un error
La estructura de los mensajes de error proporciona el mayor nivel de detalle posible para ayudarte a diagnosticar y solucionar el problema. Los errores se muestran en una estructura google.rpc.Status. Dentro de esa estructura, sucede lo siguiente:
- El campo
google.rpc.Status.codemuestra la categoría amplia del error. - El campo
google.rpc.Status.messagemuestra un mensaje legible, incluidos los detalles sobre la acción específica que se intentó y las sugerencias dependientes del contexto para solucionar el error. Si
google.rpc.Status.codeesFAILED_PRECONDITION, la estructuragoogle.rpc.PreconditionFailurese puede leer por máquina. Contiene dos estructurasviolation.violation[0]contiene información sobre el estado de la clave de Cloud EKM.violation[1]contiene información sobre el intento de contactar al sistema de administración de claves externas.El campo
violation[1].typecontiene información sobre el tipo de error. Cloud EKM hace referencia a esta información como el “dominio de error”.Si estos errores persisten, comunícate con el equipo de asistencia del socio de administración de claves externas.
En esta referencia, los mensajes en google.rpc.Status.message se truncan para facilitar la lectura. La parte truncada incluye información como el URI de la clave externa.
Soluciona problemas
Los errores que ocurren cuando se usa Cloud EKM pueden deberse a problemas con las entradas, Cloud EKM, el sistema de administración de claves externas, comunicaciones entre ellas o cualquier otro factor. Puedes leer información específica sobre la solución de problemas en la sección para cada tipo de error.
Según el tipo de error, es posible que debas comunicarte con la asistencia de Cloud EKM o la asistencia para el sistema de administración de claves externas.
Errores de entrada
Sigue las sugerencias para solucionar problemas en el campo google.rpc.Status.message del error. Verifica el URI de la clave externa o cualquier otra entrada. Si el problema persiste, comunícate con asistencia de Google Cloud.
A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION.
google.rpc.Status.message |
violation[1].type(Dominio de error) |
Soluciona problemas |
|---|---|---|
Permission was denied when trying to access key URI. |
EXTERNAL_PERMISSION_DENIED |
Si encuentras este error, Cloud EKM también inhabilita la versión de la clave. Otorga los permisos adecuados a tu administrador de claves externas y vuelve a rotar la clave de Cloud EKM para volver a intentarlo. |
Could not find resource at key URI. |
EXTERNAL_NOT_FOUND |
Verifica que el URI de la clave externa sea correcto. Si es así, comunícate con el equipo de asistencia del sistema de administración de claves externas. |
Key URI has invalid format. |
EXTERNAL_KEY_URI_INVALID |
Comprueba que el URI de la clave en esta solicitud sea correcto y vuelve a rotar la clave de Cloud EKM. |
Key URI host is not supported. |
EXTERNAL_KEY_HOST_NOT_WHITELISTED |
Verifica que el URI de la clave sea correcto. Si operas tu propia implementación del sistema de administración de claves externas, comunícate con asistencia de Google Cloud. De lo contrario, comunícate con el equipo de asistencia del sistema de administración de claves externas. |
Could not resolve the domain name for key URI. |
DNS |
Verifica que el URI de la clave sea correcto. Si es así, comunícate con el equipo de asistencia del sistema de administración de claves externas. |
Errores que se pueden reintentar
Sigue las sugerencias para solucionar problemas en el campo google.rpc.Status.message del error. Si observas tiempos de espera frecuentes o errores de red, asegúrate de que la ubicación geográfica de tus claves de Cloud EKM esté lo más cerca posible de la región que usas para las claves externas. Si el problema persiste, comunícate con el equipo de asistencia del socio de administración de claves externas.
A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION.
google.rpc.Status.message |
violation[1].type(Dominio de error) |
|---|---|
Got throttled when trying to access key URI. |
EXTERNAL_RESOURCE_EXHAUSTED |
Could not reach key URI due to an external networking error. |
UNREACHABLE_NETWORK |
Could not reach key because the external key manager is slow or overloaded. |
OVERLOADED_EKM |
Timed out when trying to access key URI. |
TIMEOUT |
This error typically happens when the EKM is too slow to respond. Slowness can be caused by the EKM receiving more requests than it can handle or by network latency that is too high. |
REQUEST_CANCELLED |
Errores del sistema de administración de claves externas
Si encuentras estos errores y estos persisten, comunícate con el equipo de asistencia para la administración de claves externas.
A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION.
google.rpc.Status.message |
violation[1].type(Dominio de error) |
|---|---|
Externally hosted CryptoKeys are not available to this caller. |
Vacío |
Error in validating TLS server certificate for key URI. |
TLS_CERT |
Got garbled or unusable response when trying to access key URI. |
UNEXPECTED_RESPONSE |
Got external server error when trying to access key URI. |
EXTERNAL_SERVER_ERROR |
Got unimplemented error when trying to access key URI. |
EXTERNAL_NOT_IMPLEMENTED |
Got unexpected error when trying to access key URI. |
UNEXPECTED_ERROR |
Decryption failed: The EKM reports that decryption failed.Si se produce este error, el URI de la clave es válido, pero el sistema de administración de claves externas informa un cifrado incorrecto o datos autenticados adicionales (AAD). google.rpc.Status.code es INVALID_ARGUMENT. |
DECRYPTION_FAILED |
Obtén asistencia
Si experimentas un error que no aparece en esta referencia, comunícate con el equipo de asistencia de Google Cloud.