Cloud EKM エラー リファレンス

このトピックでは、Cloud External Key Manager(Cloud EKM)の使用時に発生する可能性のあるエラーの解釈とトラブルシューティングについて説明します。

エラーの構造

エラー メッセージの構造でできる限り詳細な情報が提供されると、問題の診断とトラブルシューティングに役立ちます。エラーは google.rpc.Status 構造で返されます。構造内:

  • google.rpc.Status.code フィールドには、エラーの大まかなカテゴリが表示されます。
  • google.rpc.Status.message フィールドには、人が読めるメッセージが表示されます。試行された特定のアクションの詳細や、エラーのトラブルシューティングに役立つコンテキスト依存の提案も表示されます。
  • google.rpc.Status.codeFAILED_PRECONDITION の場合、google.rpc.PreconditionFailure 構造はコンピュータが解読できます。これには、2 つの violation 構造が含まれます。

    • violation[0] には、Cloud EKM 鍵の状態に関する情報が含まれています。
    • violation[1] には、外部鍵管理パートナー システムへの問い合わせに関する情報が含まれます。

      violation[1].type には、エラーの種類に関する情報が含まれます。Cloud EKM ではこの情報を「エラードメイン」と呼んでいます。

      これらのエラーが続く場合は、外部鍵管理パートナーのサポートにお問い合わせください。

このリファレンスでは、google.rpc.Status.message のメッセージは読みやすくするために切り捨てられています。切り捨てられた部分には、外部鍵の URI などの情報が含まれています。

トラブルシューティング

Cloud EKM の使用中に発生するエラーは、入力、Cloud EKM、外部鍵管理パートナー システム、システム間の通信などの要因で問題が発生することがあります。エラータイプごとのセクションに個別にトラブルシューティング情報が記載されています。

エラータイプに応じて、Cloud EKM サポートまたは外部鍵管理パートナー システムのサポートにお問い合わせください。

入力エラー

エラーの google.rpc.Status.message フィールドのトラブルシューティングのアドバイスに従います。外部鍵の URI または他の入力を確認します。問題が解決しない場合は、Google Cloud のサポートにお問い合わせください。

特に明記されない限り、このセクションのエラーは google.rpc.Status.codeFAILED_PRECONDITION になります。

google.rpc.Status.message violation[1].type
(エラードメイン)
トラブルシューティング
Permission was denied when trying to access key URI. EXTERNAL_PERMISSION_DENIED このエラーが発生すると、Cloud EKM は鍵バージョンも無効にします。外部鍵マネージャーで適切な権限を付与してから、Cloud EKM 鍵をローテーションしてもう一度お試しください。
Could not find resource at key URI. EXTERNAL_NOT_FOUND 外部鍵の URI が正しいことを確認します。正しい場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID このリクエストの鍵 URI が正しいことを確認してから、Cloud EKM 鍵をローテーションして、もう一度お試しください。
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED 鍵の URI が正しいことを確認します。外部鍵管理パートナー システムの独自のデプロイを運用している場合は、Google Cloud のサポートにお問い合わせください。それ以外の場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。
Could not resolve the domain name for key URI. DNS 鍵の URI が正しいことを確認します。正しい場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。

再試行可能なエラー

エラーの google.rpc.Status.message フィールドのトラブルシューティングのアドバイスに従います。タイムアウトまたはネットワーク エラーが頻繁に発生する場合は、Cloud EKM 鍵の地理的なロケーションが外部鍵に使用するリージョンに可能な限り近いことを確認してください。問題が解決しない場合は、外部鍵管理パートナーのサポートにお問い合わせください。

特に明記されない限り、このセクションのエラーは google.rpc.Status.codeFAILED_PRECONDITION になります。

google.rpc.Status.message violation[1].type
(エラードメイン)
Got throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach key URI due to an external networking error. UNREACHABLE_NETWORK
Could not reach key because the external key manager is slow or overloaded. OVERLOADED_EKM
Timed out when trying to access key URI. TIMEOUT

外部鍵管理システムのエラー

これらのエラーが発生して続く場合は、外部鍵管理パートナーのサポートにお問い合わせください。

特に明記されない限り、このセクションのエラーは google.rpc.Status.codeFAILED_PRECONDITION になります。

google.rpc.Status.message violation[1].type
(エラードメイン)
Externally hosted CryptoKeys are not available to this caller. 空白
Error in validating TLS server certificate for key URI. TLS_CERT
Got garbled or unusable response when trying to access key URI. UNEXPECTED_RESPONSE
Got external server error when trying to access key URI. EXTERNAL_SERVER_ERROR
Got unimplemented error when trying to access key URI. EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access key URI. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
このエラーが発生した場合、鍵 URI は有効ですが、外部の鍵管理パートナー システムによって不正な暗号テキストや追加認証データ(AAD)が報告されます。
google.rpc.Status.codeINVALID_ARGUMENT です。
DECRYPTION_FAILED

サポートの利用

このリファレンスに記載されていないエラーが発生した場合は、Google Cloud サポートにお問い合わせください。