Referensi error Cloud EKM

Topik ini membantu Anda menafsirkan dan memecahkan masalah error yang mungkin terjadi saat menggunakan Cloud External Key Manager (Cloud EKM).

Struktur error

Struktur pesan error memberikan perincian sebanyak mungkin untuk membantu Anda mendiagnosis dan troubleshoot. Error ditampilkan dalam struktur google.rpc.Status. Dalam struktur tersebut:

  • Kolom google.rpc.Status.code menampilkan kategori error yang luas.
  • Kolom google.rpc.Status.message menampilkan pesan yang dapat dibaca manusia, termasuk detail tentang tindakan tertentu yang dicoba dan saran yang bergantung konteks untuk memecahkan masalah error.
  • Jika google.rpc.Status.code adalah FAILED_PRECONDITION, struktur google.rpc.PreconditionFailure dapat dibaca mesin. Class ini berisi dua struktur violation.

    • violation[0] berisi informasi tentang status kunci Cloud EKM.
    • violation[1] berisi informasi tentang upaya untuk menghubungi sistem partner pengelolaan kunci eksternal.

      violation[1].type berisi informasi tentang jenis error. Cloud EKM menyebut informasi ini sebagai "domain error".

      Jika error ini masih berlanjut, hubungi dukungan untuk partner pengelolaan kunci eksternal.

Dalam referensi ini, pesan dalam google.rpc.Status.message dipotong agar mudah dibaca. Bagian yang terpotong mencakup informasi seperti URI kunci eksternal atau jalur kunci.

Pemecahan masalah

Error yang terjadi saat menggunakan Cloud EKM dapat disebabkan oleh masalah terkait error input, Cloud EKM, sistem partner pengelolaan kunci eksternal, komunikasi antara keduanya, atau faktor lainnya. Anda dapat membaca informasi pemecahan masalah tertentu di bagian untuk setiap jenis error.

Bergantung pada jenis error, Anda mungkin perlu menghubungi dukungan Cloud EKM atau dukungan untuk sistem partner pengelolaan kunci eksternal.

Jika error Anda tidak tercantum dalam tabel di bawah, lihat Memecahkan masalah EKM melalui error VPC.

Error input

Ikuti saran pemecahan masalah di kolom google.rpc.Status.message untuk error tersebut. Jika masalah masih berlanjut, hubungi dukungan Google Cloud.

Kecuali jika dinyatakan lain, error di bagian ini memiliki google.rpc.Status.code dari FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(Domain error)
Pemecahan masalah
Permission was denied when accessing the EKM_ELEMENT. EXTERNAL_PERMISSION_DENIED Jika EKM_ELEMENT adalah key, Cloud EKM juga akan menonaktifkan versi kunci. Berikan izin yang sesuai di pengelola kunci eksternal Anda, lalu coba lagi dengan merotasi kunci Cloud EKM.
Jika EKM_ELEMENT adalah crypto space atau EKM host, berikan peran atau izin yang sesuai ke akun layanan, lalu coba lagi.
Could not find a EKM_ELEMENT atau Could not query EKM host. EXTERNAL_NOT_FOUND Jika EKM_ELEMENT adalah key, periksa apakah URI kunci eksternal atau jalur kunci sudah benar.
Jika EKM_ELEMENT adalah crypto space, pastikan jalur ruang kripto sudah benar.
Jika EKM host tidak dapat dikueri, periksa apakah nama host EKM sudah benar.
Jika ejaannya benar, hubungi dukungan untuk sistem partner pengelolaan kunci eksternal.
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID Pastikan URI kunci dalam permintaan ini sudah benar, lalu coba lagi dengan merotasi kunci Cloud EKM.
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED Pastikan URI kunci sudah benar. Jika Anda mengoperasikan deployment sistem partner pengelolaan kunci eksternal sendiri, hubungi dukungan Google Cloud. Jika tidak, hubungi dukungan untuk sistem partner pengelolaan kunci eksternal.
Could not resolve the domain name for EKM_ELEMENT. DNS Periksa apakah URI kunci, jalur kunci, ruang kripto, atau nama host EKM sudah benar. Jika ya, hubungi dukungan untuk sistem partner pengelolaan kunci eksternal.

Error yang dapat dicoba lagi

Ikuti saran pemecahan masalah di kolom google.rpc.Status.message untuk error tersebut. Jika Anda mengamati seringnya terjadi waktu tunggu atau error jaringan, pastikan lokasi geografis kunci Cloud EKM sedekat mungkin dengan region yang Anda gunakan untuk kunci eksternal. Jika masalah berlanjut, hubungi dukungan untuk partner pengelolaan kunci eksternal.

Kecuali jika dinyatakan lain, error di bagian ini memiliki google.rpc.Status.code dari FAILED_PRECONDITION. EKM_ELEMENT dapat berupa salah satu nilai berikut: key, crypto space, atau EKM host.

google.rpc.Status.message violation[1].type
(Domain error)
Throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach the EKM_ELEMENT due to an external networking error. UNREACHABLE_NETWORK
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. OVERLOADED_EKM
Timed out when trying to access the EKM_ELEMENT. TIMEOUT
Error ini biasanya terjadi jika EKM terlalu lambat merespons. Kelambatan dapat disebabkan oleh EKM yang menerima permintaan lebih banyak daripada yang dapat ditanganinya atau karena latensi jaringan yang terlalu tinggi. REQUEST_CANCELLED

Error sistem pengelolaan kunci eksternal

Jika Anda mengalami error ini dan tetap berlanjut, hubungi dukungan untuk partner pengelolaan kunci eksternal.

Kecuali jika dinyatakan lain, error di bagian ini memiliki google.rpc.Status.code dari FAILED_PRECONDITION. EKM_ELEMENT dapat berupa salah satu nilai berikut: key, crypto space, atau EKM host.

google.rpc.Status.message violation[1].type
(Domain error)
Could not validate the TLS server certificate for the EKM_ELEMENT. TLS_CERT
Got garbled or unusable response when trying to access the EKM_ELEMENT. UNEXPECTED_RESPONSE
External server error when trying to access the EKM_ELEMENT. EXTERNAL_SERVER_ERROR
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_API dapat berupa salah satu dari AsymmetricSign, CheckCryptoSpacePermissions, CreateKey, Decrypt, DestroyKey, Encrypt, GetInfo, atau GetPublicKey
EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access the EKM_ELEMENT. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
Ini berarti URI kunci valid, tetapi sistem partner pengelolaan kunci eksternal gagal mendekripsi blob yang digabungkan atau data terautentikasi tambahan (AAD).
google.rpc.Status.code adalah INVALID_ARGUMENT.
DECRYPTION_FAILED

Mendapatkan dukungan

Jika Anda mengalami error yang tidak tercantum dalam referensi ini, hubungi dukungan Google Cloud.