Este tema te ayuda a interpretar y solucionar errores que pueden ocurrir cuando usas Cloud External Key Manager (Cloud EKM).
Estructura de un error
La estructura de los mensajes de error proporciona el mayor nivel de detalle posible para ayudarte a diagnosticar y troubleshoot el problema. Los errores se muestran en una estructura google.rpc.Status. Dentro de esa estructura, sucede lo siguiente:
- El campo
google.rpc.Status.codemuestra la categoría amplia del error. - El campo
google.rpc.Status.messagemuestra un mensaje legible, incluidos los detalles sobre la acción específica que se intentó y las sugerencias dependientes del contexto para solucionar el error. Si
google.rpc.Status.codeesFAILED_PRECONDITION, la estructuragoogle.rpc.PreconditionFailurese puede leer por máquina. Contiene dos estructurasviolation.violation[0]contiene información sobre el estado de la clave de Cloud EKM.violation[1]contiene información sobre el intento de contactar al sistema de administración de claves externas.El campo
violation[1].typecontiene información sobre el tipo de error. Cloud EKM hace referencia a esta información como el “dominio de error”.Si estos errores persisten, comunícate con el equipo de asistencia del socio de administración de claves externas.
En esta referencia, los mensajes de google.rpc.Status.message se truncan para facilitar la lectura. La parte truncada incluye información como el URI de la clave externa o la ruta de la clave.
Soluciona problemas
Los errores que se producen cuando se usa Cloud EKM pueden deberse a problemas con errores de entrada, Cloud EKM, el sistema de administración de claves externas, comunicaciones entre ellos y otros factores. Puedes leer información específica sobre la solución de problemas en la sección para cada tipo de error.
Según el tipo de error, es posible que debas comunicarte con la asistencia de Cloud EKM o la asistencia para el sistema de administración de claves externas.
Si el error no aparece en las siguientes tablas, consulta Cómo solucionar problemas de EKM mediante errores de VPC.
Errores de entrada
Sigue las sugerencias para solucionar problemas en el campo google.rpc.Status.message del error. Si el problema persiste, comunícate con el equipo de asistencia de Google Cloud.
A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION.
google.rpc.Status.message |
violation[1].type(Dominio de error) |
Soluciona problemas |
|---|---|---|
Permission was denied when accessing the EKM_ELEMENT. |
EXTERNAL_PERMISSION_DENIED |
Cuando EKM_ELEMENT es key, Cloud EKM también inhabilita la versión de la clave. Otorga los permisos adecuados a tu administrador de claves externas y vuelve a rotar la clave de Cloud EKM para volver a intentarlo.Cuando EKM_ELEMENT sea crypto space o EKM host, otorga la función o los permisos adecuados a la cuenta de servicio y, luego, vuelve a intentarlo. |
Could not find a EKM_ELEMENT o Could not query EKM host. |
EXTERNAL_NOT_FOUND |
Cuando EKM_ELEMENT sea key, verifica que el URI de la clave externa o la ruta de la clave sean correctos.Cuando EKM_ELEMENT sea crypto space, verifica que la ruta del espacio criptográfico sea correcta. Cuando no se pueda consultar un EKM host, verifica que el nombre de host de EKM sea correcto. Si están bien escritas, comunícate con el equipo de asistencia del sistema de administración de claves externo. |
Key URI has invalid format. |
EXTERNAL_KEY_URI_INVALID |
Comprueba que el URI de la clave en esta solicitud sea correcto y vuelve a rotar la clave de Cloud EKM. |
Key URI host is not supported. |
EXTERNAL_KEY_HOST_NOT_WHITELISTED |
Verifica que el URI de la clave sea correcto. Si operas tu propia implementación del sistema de administración de claves externas, comunícate con asistencia de Google Cloud. De lo contrario, comunícate con el equipo de asistencia del sistema de administración de claves externas. |
Could not resolve the domain name for EKM_ELEMENT. |
DNS |
Verifica que el URI de la clave, la ruta de acceso de la clave, el espacio criptográfico o el nombre de host del EKM sean correctos. Si es así, comunícate con el equipo de asistencia del sistema de administración de claves externas. |
Errores que se pueden reintentar
Sigue las sugerencias para solucionar problemas en el campo google.rpc.Status.message del error. Si observas tiempos de espera agotados frecuentes o errores de red, asegúrate de que la
ubicación geográfica de tus claves de Cloud EKM sea lo más cercana posible a la
región que usas para las claves externas. Si el problema persiste, comunícate con el equipo de asistencia
del socio de administración de claves externas.
A menos que se indique lo contrario, los errores de esta sección tienen un google.rpc.Status.code de FAILED_PRECONDITION. EKM_ELEMENT puede ser uno de estos valores: key, crypto space o EKM host.
google.rpc.Status.message |
violation[1].type(Dominio de error) |
|---|---|
Throttled when trying to access key URI. |
EXTERNAL_RESOURCE_EXHAUSTED |
Could not reach the EKM_ELEMENT due to an external networking error. |
UNREACHABLE_NETWORK |
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. |
OVERLOADED_EKM |
Timed out when trying to access the EKM_ELEMENT. |
TIMEOUT |
| Este error suele ocurrir cuando el EKM es demasiado lento para responder. La lentitud puede deberse a que el EKM recibe más solicitudes de las que puede controlar o a que la latencia de la red es demasiado alta. | REQUEST_CANCELLED |
Errores del sistema de administración de claves externas
Si encuentras estos errores y persisten, comunícate con el equipo de asistencia del socio de administración de claves externo.
A menos que se indique lo contrario, los errores de esta sección tienen un google.rpc.Status.code de FAILED_PRECONDITION. EKM_ELEMENT puede ser uno de estos valores: key, crypto space o EKM host.
google.rpc.Status.message |
violation[1].type(Dominio de error) |
|---|---|
Could not validate the TLS server certificate for the EKM_ELEMENT. |
TLS_CERT |
Got garbled or unusable response when trying to access the EKM_ELEMENT. |
UNEXPECTED_RESPONSE |
External server error when trying to access the EKM_ELEMENT. |
EXTERNAL_SERVER_ERROR |
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_API puede ser AsymmetricSign, CheckCryptoSpacePermissions, CreateKey, Decrypt, DestroyKey, Encrypt, GetInfo o GetPublicKey. |
EXTERNAL_NOT_IMPLEMENTED |
Got unexpected error when trying to access the EKM_ELEMENT. |
UNEXPECTED_ERROR |
Decryption failed: The EKM reports that decryption failed.Esto significa que el URI de la clave es válido, pero el sistema asociado de administración de claves externo no pudo desencriptar el BLOB unido ni los datos autenticados adicionales (AAD). google.rpc.Status.code es INVALID_ARGUMENT. |
DECRYPTION_FAILED |
Obtén asistencia
Si experimentas un error que no aparece en esta referencia, comunícate con el equipo de asistencia de Google Cloud.