Cloud EKM エラー リファレンス

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このトピックでは、Cloud External Key Manager(Cloud EKM)の使用時に発生する可能性のあるエラーの解釈とトラブルシューティングについて説明します。

エラーの構造

エラー メッセージの構造は、問題の診断とトラブルシューティングに役立つよう、可能な限りの粒度で示されます。エラーは google.rpc.Status 構造で返されます。構造内:

  • google.rpc.Status.code フィールドには、エラーの幅広いカテゴリが表示されます。
  • google.rpc.Status.message フィールドには、人が読めるメッセージが表示されます。試行された特定のアクションの詳細や、エラーのトラブルシューティングに役立つコンテキスト依存の提案も表示されます。
  • google.rpc.Status.codeFAILED_PRECONDITION の場合、google.rpc.PreconditionFailure 構造はマシンで読み取り可能です。2 つの violation 構造が含まれます。

    • violation[0] には、Cloud EKM 鍵の状態に関する情報が含まれています。
    • violation[1] には、外部鍵管理パートナー システムへの問い合わせに関する情報が含まれます。

      violation[1].type には、エラーの種類に関する情報が含まれます。Cloud EKM ではこの情報を「エラードメイン」と呼びます。

      これらのエラーが解決しない場合は、外部鍵管理パートナーのサポートにお問い合わせください。

このリファレンスでは、読みやすくするために google.rpc.Status.message 内のメッセージを切り捨てています。切り捨てられた部分には、外部鍵の URI などの情報が含まれています。

トラブルシューティング

Cloud EKM の使用中に発生するエラーは、入力、Cloud EKM、外部鍵管理パートナー システム、システム間の通信などの要因で問題が発生することがあります。エラータイプごとのセクションに個別にトラブルシューティング情報が記載されています。

エラータイプに応じて、Cloud EKM サポートまたは外部鍵管理パートナー システムのサポートにお問い合わせください。

入力エラー

エラーの google.rpc.Status.message フィールドのトラブルシューティングのアドバイスに従います。外部鍵の URI またはその他の入力を確認します。問題が解決されない場合は、Google Cloud サポートまでご連絡ください。

特に明記されない限り、このセクションのエラーは google.rpc.Status.codeFAILED_PRECONDITION になります。

google.rpc.Status.message violation[1].type
(エラードメイン)
トラブルシューティング
Permission was denied when trying to access key URI. EXTERNAL_PERMISSION_DENIED このエラーが発生した場合、Cloud EKM は鍵バージョンも無効にします。外部鍵マネージャーで適切な権限を付与してから、Cloud EKM 鍵をローテーションして、もう一度お試しください。
Could not find resource at key URI. EXTERNAL_NOT_FOUND 外部鍵 URI が正しいことを確認します。正しい場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID このリクエストの鍵 URI が正しいことを確認してから、Cloud EKM 鍵をローテーションして、もう一度お試しください。
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED 鍵の URI が正しいことを確認します。外部鍵管理パートナー システムの独自のデプロイを運用している場合は、Google Cloud サポートにお問い合わせください。それ以外の場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。
Could not resolve the domain name for key URI. DNS 鍵の URI が正しいことを確認します。正しい場合は、外部鍵管理パートナー システムのサポートにお問い合わせください。

再試行可能なエラー

エラーの google.rpc.Status.message フィールドのトラブルシューティングのアドバイスに従います。タイムアウトまたはネットワーク エラーが頻繁に発生する場合は、Cloud EKM 鍵の地理的なロケーションが外部鍵に使用するリージョンに可能な限り近いことを確認してください。問題が解決しない場合は、外部鍵管理パートナーのサポートにお問い合わせください。

特に明記されない限り、このセクションのエラーは google.rpc.Status.codeFAILED_PRECONDITION になります。

google.rpc.Status.message violation[1].type
(エラードメイン)
Got throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach key URI due to an external networking error. UNREACHABLE_NETWORK
Could not reach key because the external key manager is slow or overloaded. OVERLOADED_EKM
Timed out when trying to access key URI. TIMEOUT
This error typically happens when the EKM is too slow to respond. Slowness can be caused by the EKM receiving more requests than it can handle or by network latency that is too high. REQUEST_CANCELLED

外部鍵管理システムのエラー

これらのエラーが発生して続く場合は、外部鍵管理パートナーのサポートにお問い合わせください。

特に明記されない限り、このセクションのエラーは google.rpc.Status.codeFAILED_PRECONDITION になります。

google.rpc.Status.message violation[1].type
(エラードメイン)
Externally hosted CryptoKeys are not available to this caller. 空白
Error in validating TLS server certificate for key URI. TLS_CERT
Got garbled or unusable response when trying to access key URI. UNEXPECTED_RESPONSE
Got external server error when trying to access key URI. EXTERNAL_SERVER_ERROR
Got unimplemented error when trying to access key URI. EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access key URI. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
このエラーが発生した場合、鍵 URI は有効ですが、外部の鍵管理パートナー システムによって不正な暗号テキストや追加認証データ(AAD)が報告されます。
google.rpc.Status.codeINVALID_ARGUMENT です。
DECRYPTION_FAILED

サポートの利用

このリファレンスに記載されていないエラーが発生した場合は、Google Cloud サポートにお問い合わせください。