Referencia de error de Cloud EKM

Este tema te ayuda a interpretar y solucionar errores que pueden ocurrir cuando usas Cloud External Key Manager (Cloud EKM).

Estructura de un error

La estructura de los mensajes de error proporciona el mayor nivel de detalle posible para ayudarte a diagnosticar y solucionar el problema. Los errores se muestran en una estructura google.rpc.Status. Dentro de esa estructura, sucede lo siguiente:

  • El campo google.rpc.Status.code muestra la categoría amplia del error.
  • El campo google.rpc.Status.message muestra un mensaje legible, incluidos los detalles sobre la acción específica que se intentó y las sugerencias dependientes del contexto para solucionar el error.
  • Si google.rpc.Status.code es FAILED_PRECONDITION, la estructura google.rpc.PreconditionFailure se puede leer por máquina. Contiene dos estructuras violation.

    • violation[0] contiene información sobre el estado de la clave de Cloud EKM.
    • violation[1] contiene información sobre el intento de contactar al sistema de administración de claves externas.

      El campo violation[1].type contiene información sobre el tipo de error. Cloud EKM hace referencia a esta información como el “dominio de error”.

      Si estos errores persisten, comunícate con el equipo de asistencia del socio de administración de claves externas.

En esta referencia, los mensajes en google.rpc.Status.message se truncan para facilitar la lectura. La parte truncada incluye información como el URI de la clave externa.

Soluciona problemas

Los errores que ocurren cuando se usa Cloud EKM pueden deberse a problemas con las entradas, Cloud EKM, el sistema de administración de claves externas, comunicaciones entre ellas o cualquier otro factor. Puedes leer información específica sobre la solución de problemas en la sección para cada tipo de error.

Según el tipo de error, es posible que debas comunicarte con la asistencia de Cloud EKM o la asistencia para el sistema de administración de claves externas.

Errores de entrada

Sigue las sugerencias para solucionar problemas en el campo google.rpc.Status.message del error. Verifica el URI de la clave externa o cualquier otra entrada. Si el problema persiste, comunícate con asistencia de Google Cloud.

A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Dominio de error)
Soluciona problemas
Permission was denied when trying to access key URI. EXTERNAL_PERMISSION_DENIED Si encuentras este error, Cloud EKM también inhabilita la versión de la clave. Otorga los permisos adecuados a tu administrador de claves externas y vuelve a rotar la clave de Cloud EKM para volver a intentarlo.
Could not find resource at key URI. EXTERNAL_NOT_FOUND Verifica que el URI de la clave externa sea correcto. Si es así, comunícate con el equipo de asistencia del sistema de administración de claves externas.
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID Comprueba que el URI de la clave en esta solicitud sea correcto y vuelve a rotar la clave de Cloud EKM.
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED Verifica que el URI de la clave sea correcto. Si operas tu propia implementación del sistema de administración de claves externas, comunícate con asistencia de Google Cloud. De lo contrario, comunícate con el equipo de asistencia del sistema de administración de claves externas.
Could not resolve the domain name for key URI. DNS Verifica que el URI de la clave sea correcto. Si es así, comunícate con el equipo de asistencia del sistema de administración de claves externas.

Errores que se pueden reintentar

Sigue las sugerencias para solucionar problemas en el campo google.rpc.Status.message del error. Si observas tiempos de espera frecuentes o errores de red, asegúrate de que la ubicación geográfica de tus claves de Cloud EKM esté lo más cerca posible de la región que usas para las claves externas. Si el problema persiste, comunícate con el equipo de asistencia del socio de administración de claves externas.

A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Dominio de error)
Got throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach key URI due to an external networking error. UNREACHABLE_NETWORK
Could not reach key because the external key manager is slow or overloaded. OVERLOADED_EKM
Timed out when trying to access key URI. TIMEOUT

Errores del sistema de administración de claves externas

Si encuentras estos errores y estos persisten, comunícate con el equipo de asistencia para la administración de claves externas.

A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Dominio de error)
Externally hosted CryptoKeys are not available to this caller. Vacío
Error in validating TLS server certificate for key URI. TLS_CERT
Got garbled or unusable response when trying to access key URI. UNEXPECTED_RESPONSE
Got external server error when trying to access key URI. EXTERNAL_SERVER_ERROR
Got unimplemented error when trying to access key URI. EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access key URI. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
Si se produce este error, el URI de la clave es válido, pero el sistema de administración de claves externas informa un cifrado incorrecto o datos autenticados adicionales (AAD).
google.rpc.Status.code es INVALID_ARGUMENT.
DECRYPTION_FAILED

Obtén asistencia

Si experimentas un error que no aparece en esta referencia, comunícate con el equipo de asistencia de Google Cloud.