Cloud EKM 오류 참조

이 주제에서는 Cloud 외부 키 관리자(Cloud EKM)를 사용할 때 발생할 수 있는 오류를 해석하고 문제를 해결하는 방법에 대해 설명합니다.

오류의 구조

오류 메시지의 구조는 문제 진단 및 문제 해결에 도움이 되는 최대한 세분화된 정보를 제공합니다. 오류는 google.rpc.Status 구조로 반환됩니다. 이 구조 내의 세부 필드는 다음과 같습니다.

  • google.rpc.Status.code 필드에서는 다양한 오류 카테고리를 보여줍니다.
  • google.rpc.Status.message 필드는 시도된 특정 작업에 대한 세부정보 및 오류 문제 해결을 위한 컨텍스트 종속 제안 등 사람이 읽을 수 있는 메시지를 표시합니다.
  • google.rpc.Status.codeFAILED_PRECONDITION이면 google.rpc.PreconditionFailure 구조에서 머신을 읽을 수 있습니다. 여기에는 violation 구조 두 개가 포함됩니다.

    • violation[0]에는 Cloud EKM 키 상태에 대한 정보가 포함됩니다.
    • violation[1]에는 외부 키 관리 파트너 시스템에 연결하려는 시도에 대한 정보가 포함됩니다.

      violation[1].type에는 오류 유형에 대한 정보가 포함됩니다. Cloud EKM에서는 이 정보를 '오류 도메인'이라고 합니다.

      이러한 오류가 계속되면 외부 키 관리 파트너 지원팀에게 문의하세요.

이 참조에서 google.rpc.Status.message의 메시지는 가독성을 위해 잘립니다. 잘린 부분에는 외부 키 URI 또는 키 경로와 같은 정보가 포함됩니다.

문제 해결

Cloud EKM을 사용할 때 발생하는 오류는 입력 오류, Cloud EKM, 외부 키 관리 파트너 시스템, 입력 간의 통신 또는 기타 요인으로 인해 발생할 수 있습니다. 각 오류 유형에 대한 섹션에서 특정 문제 해결 정보를 읽을 수 있습니다.

오류 유형에 따라 Cloud EKM 지원팀 또는 외부 키 관리 파트너 시스템 지원팀에 문의해야 할 수도 있습니다.

아래 표에 오류가 나열되어 있지 않으면 VPC 오류를 통한 EKM 문제 해결을 참조하세요.

입력 오류

오류의 google.rpc.Status.message 필드에 있는 문제 해결 도움말을 따릅니다. 문제가 계속되면 Google Cloud 지원팀에 문의하세요.

별도로 명시되지 않은 한 이 섹션의 오류에는 google.rpc.Status.codeFAILED_PRECONDITION가 있습니다.

google.rpc.Status.message violation[1].type
(오류 도메인)
문제 해결
Permission was denied when accessing the EKM_ELEMENT. EXTERNAL_PERMISSION_DENIED EKM_ELEMENTkey이면 Cloud EKM도 키 버전을 사용 중지합니다. 외부 키 관리자에 적절한 권한을 부여한 후 Cloud EKM 키를 순환하여 다시 시도하세요.
EKM_ELEMENTcrypto space 또는 EKM host이면 서비스 계정에 적절한 역할이나 권한을 부여한 후 다시 시도합니다.
Could not find a EKM_ELEMENT 또는 Could not query EKM host. EXTERNAL_NOT_FOUND EKM_ELEMENTkey인 경우 외부 키 URI 또는 키 경로가 올바른지 확인합니다.
EKM_ELEMENTcrypto space이면 암호화 공간 경로가 올바른지 확인합니다.
EKM host 쿼리를 수행할 수 없는 경우 EKM 호스트 이름이 올바른지 확인합니다.
정확하게 철자를 입력했다면 외부 키 관리 파트너 시스템 지원팀에 문의하세요.
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID 이 요청의 키 URI가 올바른지 확인하고 Cloud EKM 키를 순환하여 다시 시도하세요.
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED 키 URI가 올바른지 확인합니다. 외부 키 관리 파트너 시스템의 자체 배포를 운영하는 경우 Google Cloud 지원팀에게 문의하세요. 그렇지 않으면 외부 키 관리 파트너 시스템 지원팀에 문의하세요.
Could not resolve the domain name for EKM_ELEMENT. DNS 키 URI, 키 경로, 암호화 공간 또는 EKM 호스트 이름이 올바른지 확인합니다. 올바르면 외부 키 관리 파트너 시스템 지원팀에 문의하세요.

재시도 가능한 오류

오류의 google.rpc.Status.message 필드에 있는 문제 해결 도움말을 따릅니다. 시간 제한이나 네트워크 오류가 자주 발생하면 Cloud EKM 키의 지리적 위치가 외부 키에 사용하는 리전에 최대한 가까운지 확인합니다. 문제가 지속되면 외부 키 관리 파트너 지원팀에게 문의하세요.

별도로 명시되지 않은 한 이 섹션의 오류에는 google.rpc.Status.codeFAILED_PRECONDITION가 있습니다. EKM_ELEMENTkey, crypto space, EKM host 값 중 하나일 수 있습니다.

google.rpc.Status.message violation[1].type
(오류 도메인)
Throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach the EKM_ELEMENT due to an external networking error. UNREACHABLE_NETWORK
Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded. OVERLOADED_EKM
Timed out when trying to access the EKM_ELEMENT. TIMEOUT
일반적으로 EKM의 응답 속도가 너무 느릴 때 이 오류가 발생합니다. EKM이 처리 가능한 것보다 많은 요청을 수신하거나 네트워크 지연 시간이 너무 길어지면 속도가 느려질 수 있습니다. REQUEST_CANCELLED

외부 키 관리 시스템 오류

이러한 오류가 발생하여 지속되면 외부 키 관리 파트너 지원팀에게 문의하세요.

별도로 명시되지 않은 한 이 섹션의 오류에는 google.rpc.Status.codeFAILED_PRECONDITION가 있습니다. EKM_ELEMENTkey, crypto space, EKM host 값 중 하나일 수 있습니다.

google.rpc.Status.message violation[1].type
(오류 도메인)
Could not validate the TLS server certificate for the EKM_ELEMENT. TLS_CERT
Got garbled or unusable response when trying to access the EKM_ELEMENT. UNEXPECTED_RESPONSE
External server error when trying to access the EKM_ELEMENT. EXTERNAL_SERVER_ERROR
The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.
EKM_APIAsymmetricSign, CheckCryptoSpacePermissions, CreateKey, Decrypt, DestroyKey, Encrypt, GetInfo, GetPublicKey 중 하나일 수 있습니다.
EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access the EKM_ELEMENT. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
즉, 키 URI는 유효하지만 외부 키 관리 파트너 시스템이 래핑된 blob 또는 추가 인증 데이터(AAD)를 복호화하지 못했다는 의미입니다.
google.rpc.Status.codeINVALID_ARGUMENT입니다.
DECRYPTION_FAILED

지원 받기

이 참조에 나와 있지 않은 오류가 발생하면 Google Cloud 지원팀에게 문의하세요.