Referência de erro do Cloud EKM

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Este tópico ajuda você a interpretar e resolver erros que podem ocorrer ao usar o Cloud External Key Manager (Cloud EKM).

Estrutura de um erro

A estrutura das mensagens de erro oferece a maior granularidade possível para ajudar a diagnosticar e resolver o problema. Os erros são retornados em uma estrutura google.rpc.Status. Dentro dessa estrutura:

  • O campo google.rpc.Status.code mostra a categoria ampla do erro.
  • O campo google.rpc.Status.message mostra uma mensagem legível, incluindo detalhes sobre a ação específica que foi tentada e sugestões dependentes do contexto para resolver o erro.
  • Se google.rpc.Status.code for FAILED_PRECONDITION, a estrutura google.rpc.PreconditionFailure será legível por máquina. Ele contém duas estruturas violation.

    • violation[0] contém informações sobre o estado da chave do Cloud EKM.
    • violation[1] contém informações sobre a tentativa de contato com o sistema de gerenciamento de chaves externas do parceiro.

      O violation[1].type contém informações sobre o tipo de erro. O Cloud EKM chama essas informações de "domínio do erro".

      Se os erros persistirem, entre em contato com o suporte do parceiro de gerenciamento de chaves externas.

Nesta referência, as mensagens no google.rpc.Status.message estão truncadas para facilitar a leitura. A parte truncada inclui informações como o URI da chave externa.

Solução de problemas

Os erros que ocorrem ao usar o Cloud EKM podem ser causados por problemas nas entradas, no Cloud EKM, no sistema de gerenciamento de chaves externas do parceiro, na comunicação entre eles ou por outros fatores. Leia informações específicas de solução de problemas na seção referente a cada tipo de erro.

Dependendo do tipo de erro, talvez seja necessário entrar em contato com o suporte do Cloud EKM ou do sistema de gerenciamento de chaves externas do parceiro.

Erros de entrada

Siga as orientações da solução de problemas no campo google.rpc.Status.message do erro. Verifique o URI da chave externa ou outras entradas. Se o problema persistir, entre em contato com o suporte do Google.

Salvo indicação em contrário, os erros desta seção têm google.rpc.Status.code de FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(domínio do erro)
Solução de problemas
Permission was denied when trying to access key URI. EXTERNAL_PERMISSION_DENIED Se você encontrar esse erro, o Cloud EKM também desativará a versão da chave. Conceda as permissões apropriadas no gerenciador de chaves externas e tente novamente girando a chave do Cloud EKM.
Could not find resource at key URI. EXTERNAL_NOT_FOUND Verifique se o URI da chave externa está correto. Se estiver, entre em contato com o suporte do sistema de gerenciamento de chaves externas do parceiro.
Key URI has invalid format. EXTERNAL_KEY_URI_INVALID Verifique se o URI da chave na solicitação está correto e tente novamente girando a chave do Cloud EKM.
Key URI host is not supported. EXTERNAL_KEY_HOST_NOT_WHITELISTED Verifique se o URI da chave está correto. Se você estiver operando sua própria implantação do sistema de gerenciamento de chaves externas do parceiro, entre em contato com o suporte do Google Cloud. Caso contrário, entre em contato com o suporte do sistema de gerenciamento de chaves externas do parceiro.
Could not resolve the domain name for key URI. DNS Verifique se o URI da chave está correto. Se estiver, entre em contato com o suporte do sistema de gerenciamento de chaves externas do parceiro.

Erros que podem ser repetidos

Siga as orientações da solução de problemas no campo google.rpc.Status.message do erro. Caso você perceba tempos limite ou erros de rede frequentes, verifique se a localização geográfica das chaves do Cloud EKM está o mais próximo possível da região usada para as chaves externas. Se o problema persistir, entre em contato com o suporte do parceiro de gerenciamento de chaves externas.

Salvo indicação em contrário, os erros desta seção têm google.rpc.Status.code de FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(domínio do erro)
Got throttled when trying to access key URI. EXTERNAL_RESOURCE_EXHAUSTED
Could not reach key URI due to an external networking error. UNREACHABLE_NETWORK
Could not reach key because the external key manager is slow or overloaded. OVERLOADED_EKM
Timed out when trying to access key URI. TIMEOUT

Erros do sistema de gerenciamento de chaves externas

Se você encontrar estes erros e eles persistirem, entre em contato com o suporte do parceiro de gerenciamento de chaves externas.

Salvo indicação em contrário, os erros desta seção têm google.rpc.Status.code de FAILED_PRECONDITION.

google.rpc.Status.message violation[1].type
(domínio do erro)
Externally hosted CryptoKeys are not available to this caller. Vazio
Error in validating TLS server certificate for key URI. TLS_CERT
Got garbled or unusable response when trying to access key URI. UNEXPECTED_RESPONSE
Got external server error when trying to access key URI. EXTERNAL_SERVER_ERROR
Got unimplemented error when trying to access key URI. EXTERNAL_NOT_IMPLEMENTED
Got unexpected error when trying to access key URI. UNEXPECTED_ERROR
Decryption failed: The EKM reports that decryption failed.
Se esse erro ocorrer, o URI da chave será válido, mas o sistema de gerenciamento de chaves externas do parceiro relatará texto criptografado inválido ou outros dados autenticados (AAD, na sigla em inglês).
google.rpc.Status.code é INVALID_ARGUMENT.
DECRYPTION_FAILED

Como receber suporte

Se você tiver um erro não listado nesta referência, entre em contato com o suporte do Google Cloud.