Référence d'erreur Cloud EKM

Cet article vous aide à interpréter et à résoudre les erreurs qui peuvent survenir lors de l'utilisation de Cloud External Key Manager (Cloud EKM).

Structure d'une erreur

La structure des messages d'erreur fournit autant de précision que possible pour vous aider à diagnostiquer et à résoudre le problème. Les erreurs sont renvoyées dans une structure google.rpc.Status. Au sein de cette structure:

  • Le champ google.rpc.Status.code indique la catégorie générale de l'erreur.
  • Le champ google.rpc.Status.message affiche un message lisible, y compris des détails sur l'action spécifique qui a été tentée et des suggestions dépendantes du contexte pour résoudre l'erreur.
  • Si google.rpc.Status.code correspond à FAILED_PRECONDITION, la structure google.rpc.PreconditionFailure est lisible par un ordinateur. Il contient deux structures violation.

    • violation[0] contient des informations sur l'état de la clé Cloud EKM.
    • violation[1] contient des informations sur la tentative de contact du système partenaire partenaire de gestion des clés.

      violation[1].type contient des informations sur le type d'erreur. Cloud EKM désigne ces informations par le terme "domaine d'erreur".

      Si ces erreurs persistent, contactez l'assistance du partenaire de gestion des clés externe.

Dans ce document de référence, les messages dans google.rpc.Status.message sont tronqués par souci de lisibilité. La partie tronquée inclut des informations telles que l'URI de clé externe.

Dépannage

Les erreurs qui surviennent lors de l'utilisation de Cloud EKM peuvent être dues à vos entrées, à Cloud EKM, au système externe de gestion des clés externes, aux communications entre eux ou à d'autres facteurs. Vous pouvez consulter des informations spécifiques de dépannage dans la section associée à chaque type d'erreur.

Selon le type d'erreur, vous devrez peut-être contacter l'assistance Cloud EKM ou l'équipe d'assistance du système partenaire de gestion des clés externes.

Erreurs de saisie

Suivez les conseils de dépannage dans le champ google.rpc.Status.message de l'erreur. Vérifiez l'URI de clé externe ou d'autres entrées. Si le problème persiste, contactez l'assistance Google Cloud.

Sauf indication contraire, les erreurs de cette section sont associées à l'état google.rpc.Status.code sur FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Domaine d'erreur)
Dépannage
Permission was denied when trying to access key URI. EXTERNAL_PERMISSION_DENIED Si vous rencontrez cette erreur, Cloud EKM désactive également la version de clé. Accordez les autorisations appropriées dans votre gestionnaire de clés externe, puis réessayez en faisant pivoter la clé Cloud EKM.
Could not find resource at key URI. EXTERNAL_NOT_FOUND Vérifiez que l'URI de clé externe est correct. Si tel est le cas, contactez l'assistance du système partenaire de gestion des clés externe.
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID Vérifiez que l'URI de clé de cette requête est correct, puis réessayez en faisant pivoter la clé Cloud EKM.
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED Vérifiez que l'URI de clé est correct. Si vous exploitez votre propre déploiement du système partenaire de gestion de clés externe, contactez l'assistance Google Cloud. Sinon, contactez l'assistance du système partenaire de gestion des clés externe.
Could not resolve the domain name for key URI. DNS Vérifiez que l'URI de clé est correct. Si tel est le cas, contactez l'assistance du système partenaire de gestion des clés externe.

Erreurs récupérables

Suivez les conseils de dépannage dans le champ google.rpc.Status.message de l'erreur. Si vous constatez des délais avant expiration fréquents ou des erreurs réseau, assurez-vous que l'emplacement géographique de vos clés Cloud EKM est aussi proche que possible de la région que vous utilisez pour les clés externes. Si le problème persiste, contactez l'assistance du partenaire de gestion des clés externe.

Sauf indication contraire, les erreurs de cette section sont associées à l'état google.rpc.Status.code sur FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Domaine d'erreur)
Got throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach key URI due to an external networking error. UNREACHABLE_NETWORK
Could not reach key because the external key manager is slow or overloaded. OVERLOADED_EKM
Timed out when trying to access key URI. TIMEOUT

Erreurs système de gestion des clés externes

Si vous rencontrez ces erreurs et qu'elles persistent, contactez l'assistance du partenaire de gestion des clés externe.

Sauf indication contraire, les erreurs de cette section sont associées à l'état google.rpc.Status.code sur FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Domaine d'erreur)
Externally hosted CryptoKeys are not available to this caller. Vide
Error in validating TLS server certificate for key URI. TLS_CERT
Got garbled or unusable response when trying to access key URI. UNEXPECTED_RESPONSE
Got external server error when trying to access key URI. EXTERNAL_SERVER_ERROR
Got unimplemented error when trying to access key URI. EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access key URI. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
Si cette erreur se produit, l'URI de clé est valide, mais le système partenaire de gestion des clés externe signale un texte chiffré ou des données authentifiées supplémentaires (AAD).
google.rpc.Status.code correspond à INVALID_ARGUMENT.
DECRYPTION_FAILED

Assistance

Si vous rencontrez une erreur non répertoriée dans cette documentation de référence, contactez l'assistance Google Cloud.