このトピックでは、Cloud External Key Manager(Cloud EKM)の使用時に発生する可能性のあるエラーの解釈とトラブルシューティングについて説明します。
エラーの構造
エラー メッセージの構造は、問題の診断とトラブルシューティングに役立つよう、可能な限りの粒度で示されます。エラーは google.rpc.Status 構造で返されます。構造内:
google.rpc.Status.codeフィールドには、エラーの幅広いカテゴリが表示されます。google.rpc.Status.messageフィールドには、人が読めるメッセージが表示されます。試行された特定のアクションの詳細や、エラーのトラブルシューティングに役立つコンテキスト依存の提案も表示されます。google.rpc.Status.codeがFAILED_PRECONDITIONの場合、google.rpc.PreconditionFailure構造はマシンで読み取り可能です。2 つのviolation構造が含まれます。violation[0]には、Cloud EKM 鍵の状態に関する情報が含まれています。violation[1]には、外部鍵管理パートナー システムへの問い合わせに関する情報が含まれます。violation[1].typeには、エラーの種類に関する情報が含まれます。Cloud EKM ではこの情報を「エラードメイン」と呼びます。これらのエラーが解決しない場合は、外部鍵管理パートナーのサポートにお問い合わせください。
このリファレンスでは、読みやすくするために google.rpc.Status.message 内のメッセージを切り捨てています。切り捨てられた部分には、外部鍵の URI や鍵のパスなどの情報が含まれています。
トラブルシューティング
Cloud EKM の使用中に発生するエラーは、入力エラー、Cloud EKM、外部鍵管理パートナー システム、システム間の通信やその他の要因の問題によって引き起こされることがあります。エラータイプごとのセクションに個別にトラブルシューティング情報が記載されています。
エラータイプに応じて、Cloud EKM サポートまたは外部鍵管理パートナー システムのサポートにお問い合わせください。
下の表にエラーが表示されない場合は、VPC エラーによる EKM のトラブルシューティングをご覧ください。
入力エラー
エラーの google.rpc.Status.message フィールドのトラブルシューティングのアドバイスに従います。問題が解決されない場合は、Google Cloud サポートまでご連絡ください。
特に明記されない限り、このセクションのエラーは google.rpc.Status.code が FAILED_PRECONDITION になります。
google.rpc.Status.message |
violation[1].type(エラードメイン) |
トラブルシューティング |
|---|---|---|
Permission was denied when accessing the EKM_ELEMENT. |
EXTERNAL_PERMISSION_DENIED |
EKM_ELEMENT が key の場合、Cloud EKM は鍵バージョンも無効にします。外部鍵マネージャーで適切な権限を付与してから、Cloud EKM 鍵をローテーションして、もう一度お試しください。EKM_ELEMENT が crypto space または EKM host の場合は、サービス アカウントに適切なロールまたは権限を付与してから、もう一度お試しください。 |
Could not find a EKM_ELEMENT または Could not query EKM host. |
EXTERNAL_NOT_FOUND |
EKM_ELEMENT が key の場合、外部鍵の URI または鍵のパスが正しいことを確認してください。EKM_ELEMENT が crypto space の場合、暗号空間のパスが正しいことを確認してください。EKM host をクエリできない場合は、EKM ホスト名が正しいことを確認してください。スペルが正しい場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。 |
Key URI has invalid format. |
EXTERNAL_KEY_URI_INVALID |
このリクエストの鍵 URI が正しいことを確認してから、Cloud EKM 鍵をローテーションして、もう一度お試しください。 |
Key URI host is not supported. |
EXTERNAL_KEY_HOST_NOT_WHITELISTED |
鍵の URI が正しいことを確認します。外部鍵管理パートナー システムの独自のデプロイを運用している場合は、Google Cloud サポートにお問い合わせください。それ以外の場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。 |
Could not resolve the domain name for EKM_ELEMENT. |
DNS |
鍵 URI、鍵パス、暗号空間、EKM ホスト名が正しいことを確認してください。正しい場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。 |
再試行可能なエラー
エラーの google.rpc.Status.message フィールドのトラブルシューティングのアドバイスに従います。タイムアウトまたはネットワーク エラーが頻繁に発生する場合は、Cloud EKM 鍵の地理的なロケーションが外部鍵に使用するリージョンに可能な限り近いことを確認してください。問題が解決しない場合は、外部鍵管理パートナーのサポートにお問い合わせください。
特に明記されない限り、このセクションのエラーは google.rpc.Status.code が FAILED_PRECONDITION になります。EKM_ELEMENT は、key、crypto space、EKM host のいずれかの値になります。
google.rpc.Status.message |
violation[1].type(エラードメイン) |
|---|---|
Throttled when trying to access key URI. |
EXTERNAL_RESOURCE_EXHAUSTED |
Could not reach the EKM_ELEMENT due to an external networking error. |
UNREACHABLE_NETWORK |
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. |
OVERLOADED_EKM |
Timed out when trying to access the EKM_ELEMENT. |
TIMEOUT |
| このエラーは通常、EKM の応答が遅い場合に発生します。処理速度の低下は、EKM が処理可能な量を超えるリクエストを受信するか、ネットワークのレイテンシが大きすぎることが原因である可能性があります。 | REQUEST_CANCELLED |
外部鍵管理システムのエラー
これらのエラーが発生し、継続する場合は、外部鍵管理パートナーのサポートにお問い合わせください。
特に明記されない限り、このセクションのエラーは google.rpc.Status.code が FAILED_PRECONDITION になります。EKM_ELEMENT は、key、crypto space、EKM host のいずれかの値になります。
google.rpc.Status.message |
violation[1].type(エラードメイン) |
|---|---|
Could not validate the TLS server certificate for the EKM_ELEMENT. |
TLS_CERT |
Got garbled or unusable response when trying to access the EKM_ELEMENT. |
UNEXPECTED_RESPONSE |
External server error when trying to access the EKM_ELEMENT. |
EXTERNAL_SERVER_ERROR |
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API. EKM_API は、AsymmetricSign、CheckCryptoSpacePermissions、CreateKey、Decrypt、DestroyKey、Encrypt、GetInfo、GetPublicKey のいずれかです。 |
EXTERNAL_NOT_IMPLEMENTED |
Got unexpected error when trying to access the EKM_ELEMENT. |
UNEXPECTED_ERROR |
Decryption failed: The EKM reports that decryption failed.これは、鍵 URI が有効であっても、外部の鍵管理パートナー システムがラップされた blob または追加認証データ(AAD)を復号できなかったことを意味します。 google.rpc.Status.code は INVALID_ARGUMENT です。 |
DECRYPTION_FAILED |
サポートの利用
このリファレンスに記載されていないエラーが発生した場合は、Google Cloud サポートにお問い合わせください。