Messaggio di errore Cloud EKM

Questo argomento ti aiuta a interpretare e risolvere gli errori che potrebbero verificarsi quando si utilizza Cloud External Key Manager (Cloud EKM).

Struttura di un errore

La struttura dei messaggi di errore fornisce la massima granularità possibile per aiutarti a diagnosticare e troubleshoot il problema. Gli errori vengono restituiti in una struttura google.rpc.Status. All'interno di questa struttura:

Il campo google.rpc.Status.code mostra la categoria generica dell'errore.
Il campo google.rpc.Status.message mostra un messaggio leggibile, inclusi dettagli sull'azione specifica che è stata tentata e suggerimenti basati sul contesto per risolvere l'errore.
Se google.rpc.Status.code è FAILED_PRECONDITION, la struttura google.rpc.PreconditionFailure è leggibile dalla macchina. Contiene due strutture violation.
- violation[0] contiene informazioni sullo stato della chiave Cloud EKM.
- violation[1] contiene informazioni sul tentativo di contattare il sistema esterno di gestione delle chiavi del partner.
  
  violation[1].type contiene informazioni sul tipo di errore. Cloud EKM fa riferimento a queste informazioni come al "dominio di errore".
  
  Se gli errori persistono, contatta l'assistenza del partner esterno per la gestione delle chiavi.

In questo riferimento, i messaggi in google.rpc.Status.message vengono troncati per una maggiore leggibilità. La parte troncata include informazioni come l'URI della chiave esterna o il percorso della chiave.

Risoluzione dei problemi

Gli errori che si verificano durante l'utilizzo di Cloud EKM possono essere causati da problemi con errori di input, Cloud EKM, il sistema esterno di gestione delle chiavi del partner, comunicazioni tra i due o altri fattori. Nella sezione sono disponibili informazioni specifiche per la risoluzione dei problemi relative a ciascun tipo di errore.

A seconda del tipo di errore, potresti dover contattare l'assistenza di Cloud EKM o l'assistenza per il sistema esterno di gestione delle chiavi del partner.

Se l'errore non è elencato nelle tabelle seguenti, consulta Risolvere i problemi relativi a EKM tramite VPC.

Errori di input

Segui i consigli per la risoluzione dei problemi nel campo google.rpc.Status.message dell'errore. Se il problema persiste, contatta l'assistenza Google Cloud.

Se non diversamente indicato, gli errori in questa sezione hanno google.rpc.Status.code di FAILED_PRECONDITION.

`google.rpc.Status.message`	`violation[1].type` (Dominio di errore)	Risoluzione dei problemi
`Permission was denied when accessing the EKM_ELEMENT.`	`EXTERNAL_PERMISSION_DENIED`	Quando `EKM_ELEMENT` è `key`, Cloud EKM disattiva anche la versione della chiave. Concedi le autorizzazioni appropriate nel gestore chiavi esterno e riprova ruotando la chiave Cloud EKM. Quando `EKM_ELEMENT` è `crypto space` o `EKM host`, concedi le autorizzazioni o il ruolo appropriati all'account di servizio e poi riprova.
`Could not find a EKM_ELEMENT` o `Could not query EKM host.`	`EXTERNAL_NOT_FOUND`	Quando `EKM_ELEMENT` è `key`, verifica che l'URI della chiave esterna o il percorso della chiave siano corretti. Quando `EKM_ELEMENT` è `crypto space`, verifica che il percorso dello spazio di crittografia sia corretto. Quando non è possibile eseguire query su `EKM host`, verifica che il nome host EKM sia corretto. Se sono digitati correttamente, contatta l'assistenza per il sistema esterno di gestione delle chiavi del partner.
`Key URI has invalid format.`	`EXTERNAL_KEY_URI_INVALID`	Verifica che l'URI della chiave in questa richiesta sia corretto e riprova ruotando la chiave Cloud EKM.
`Key URI host is not supported.`	`EXTERNAL_KEY_HOST_NOT_WHITELISTED`	Verifica che l'URI della chiave sia corretto. Se gestisci il deployment del sistema esterno di gestione delle chiavi del partner, contatta l'assistenza Google Cloud. In caso contrario, contatta l'assistenza per il sistema esterno di gestione delle chiavi del partner.
`Could not resolve the domain name for EKM_ELEMENT.`	`DNS`	Verifica che l'URI della chiave, il percorso della chiave, lo spazio di crittografia o il nome host EKM siano corretti. In caso affermativo, contatta l'assistenza per il sistema esterno di gestione delle chiavi del partner.

Errori ripristinabili

Segui i consigli per la risoluzione dei problemi nel campo google.rpc.Status.message dell'errore. Se riscontri timeout o errori di rete frequenti, assicurati che la posizione geografica delle chiavi Cloud EKM sia il più vicina possibile all'area geografica che utilizzi per le chiavi esterne. Se il problema persiste, contatta l'assistenza del partner esterno per la gestione delle chiavi.

Se non diversamente indicato, gli errori in questa sezione hanno google.rpc.Status.code di FAILED_PRECONDITION. EKM_ELEMENT può essere uno di questi valori: key, crypto space o EKM host.

`google.rpc.Status.message`	`violation[1].type` (Dominio di errore)
`Throttled when trying to access key URI.`	`EXTERNAL_RESOURCE_EXHAUSTED`
`Could not reach the EKM_ELEMENT due to an external networking error.`	`UNREACHABLE_NETWORK`
`Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded.`	`OVERLOADED_EKM`
`Timed out when trying to access the EKM_ELEMENT.`	`TIMEOUT`
Questo errore si verifica in genere quando l'EKM è troppo lento per rispondere. La lentezza può essere causata dal fatto che l'EKM riceve più richieste di quante ne possa gestire o da una latenza di rete troppo alta.	`REQUEST_CANCELLED`

Errori del sistema di gestione delle chiavi esterno

Se questi errori persistono, contatta l'assistenza del partner esterno per la gestione delle chiavi.

Se non diversamente indicato, gli errori in questa sezione hanno google.rpc.Status.code di FAILED_PRECONDITION. EKM_ELEMENT può essere uno di questi valori: key, crypto space o EKM host.

`google.rpc.Status.message`	`violation[1].type` (Dominio di errore)
`Could not validate the TLS server certificate for the EKM_ELEMENT.`	`TLS_CERT`
`Got garbled or unusable response when trying to access the EKM_ELEMENT.`	`UNEXPECTED_RESPONSE`
`External server error when trying to access the EKM_ELEMENT.`	`EXTERNAL_SERVER_ERROR`
`The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.` `EKM_API` può essere `AsymmetricSign`, `CheckCryptoSpacePermissions`, `CreateKey`, `Decrypt`, `DestroyKey`, `Encrypt`, `GetInfo` o `GetPublicKey`	`EXTERNAL_NOT_IMPLEMENTED`
`Got unexpected error when trying to access the EKM_ELEMENT.`	`UNEXPECTED_ERROR`
`Decryption failed: The EKM reports that decryption failed.` Ciò significa che l'URI della chiave è valido, ma il sistema esterno di gestione delle chiavi del partner non è riuscito a decriptare il blob con wrapping o i dati autenticati aggiuntivi (AAD). `google.rpc.Status.code` è `INVALID_ARGUMENT`.	`DECRYPTION_FAILED`

Richiedere assistenza

Se si verifica un errore non elencato in questo riferimento, contatta l'assistenza Google Cloud.