Fehlerbehebung bei CMEK- und Standardeinstellungen

In diesem Dokument wird beschrieben, wie Sie häufige CMEK-Konfigurationsfehler finden und beheben. Außerdem erfahren Sie, wie Sie Fehler erkennen, die beim Festlegen des Standardspeicherorts für Ressourcen auftreten.

Fehler beim Festlegen des Standardspeicherorts für Ressourcen beheben

Sie versuchen, den Standardspeicherort für eine Organisation oder einen Ordner zu aktualisieren, aber der Befehl schlägt mit einer ähnlichen Fehlermeldung fehl:

ERROR: (gcloud.logging.settings.update) INVALID_ARGUMENT: The KMS key location must match the storage location. Received KMS key location: us-central1, storage location: us-west1
- '@type': type.googleapis.com/google.rpc.DebugInfo
  detail: '[ORIGINAL ERROR] generic::invalid_argument: The KMS key location must match
    the storage location. Received KMS key location: us-central1, storage location:
    us-west1 [google.rpc.error_details_ext] { message: "The KMS key location must
    match the storage location. Received KMS key location: us-central1, storage location:
    us-west1" }'

Um diesen Fehler zu beheben, müssen Sie den Standardspeicherort für die Organisation oder den Ordner so festlegen, dass er mit dem Speicherort des Cloud Key Management Service-Schlüssels für die Organisation oder den Ordner übereinstimmt.

Fehlerbehebung bei VPC Service Controls und domainbeschränkter Freigabe

Sie haben CMEK als Standardressourceneinstellung für Ihre Organisation oder einen Ordner konfiguriert oder einen Protokoll-Bucket mit aktiviertem CMEK erstellt. Anschließend konfigurieren Sie VPC Service Controls. Nachdem Sie VPC Service Controls konfiguriert haben, können Sie den Zugriff auf den Cloud Key Management Service in VPC Service Controls einschränken oder die freigabe auf Domainebene aktivieren.

Mindestens eines der folgenden Ereignisse tritt ein:

  • Sie haben eine Benachrichtigung von Cloud Logging zu Problemen mit dem CMEK-Zugriff erhalten.

  • Sie stellen fest, dass CMEK für die Log-Buckets _Default und _Required nicht aktiviert ist, wenn Sie neue Google Cloud-Projekte in Ihrer Organisation oder in einem Ordner erstellen.

  • Sie erhalten Fehler, wenn Sie aus Log-Buckets mit aktivierter CMEK-Verschlüsselung lesen. Die angezeigten Fehler ähneln dem folgenden:

    ERROR: (gcloud.logging.read) FAILED_PRECONDITION: service account `cmek-PROJECT_IDgcp-sa-logging.iam.gserviceaccount.com` must have both encrypt and decrypt access to the CMEK KMS key `projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY`

  • Beim Erstellen oder Aktualisieren von Protokoll-Buckets mit aktiviertem CMEK werden Fehler ausgegeben. Die Fehlermeldungen ähneln dem folgenden Fehler:

    ERROR: (gcloud.logging.buckets.create) service account `cmek-PROJECT_ID@gcp-sa-logging.iam.gserviceaccount.com` must have both encrypt and decrypt access to the CMEK KMS key `projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY`
- '@type': type.googleapis.com/google.rpc.DebugInfo
  detail: '[ORIGINAL ERROR] generic::permission_denied: Request is prohibited by
  organization's policy. vpcServiceControlsUniqueIdentifier: <var>ERRORID</var>;'

So können Sie feststellen, ob diese Probleme auf die VPC Service Controls-Konfiguration zurückzuführen sind:

  1. Ermitteln Sie die Cloud Logging-Einstellungen für die Ressource, die die CMEK-Konfiguration enthält. Eine Ressource kann ein Projekt, ein Ordner oder eine Organisation sein. Wenn Sie Log-Buckets mit aktiviertem CMEK erstellt haben, wählen Sie die PROJECT-Ressource aus.

    PROJEKT 

    gcloud logging settings describe --project=PROJECT_ID

    Ersetzen Sie vor der Ausführung des Befehls PROJECT_ID durch die Projekt-ID, die den Protokoll-Bucket enthält.

    ORDNER 

    gcloud logging settings describe --folder=FOLDER_ID

    Ersetzen Sie vor dem Ausführen des Befehls FOLDER_ID durch die ID des Ordners.

    Organisation 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Ersetzen Sie vor dem Ausführen des Befehls ORGANIZATION_ID durch die ID der Organisation.

    Die Ausgabe des vorherigen Befehls sieht in etwa so aus:

    kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

    Für Organisationen und Ordner wird außerdem das folgende Feld zurückgegeben:

    kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

    Der Wert des kmsKeyName-Felds enthält das Google Cloud-Projekt, in dem der Schlüssel gespeichert ist.

  2. Prüfen Sie, ob Sie Dienstkonten migrieren müssen:

    • Wenn der Wert des Felds kmsServiceAccountId das Präfix service- hat, müssen Sie Ihr Dienstkonto nicht migrieren. Informationen zu CMEK-Konfigurationsfehlern finden Sie in diesem Dokument im Abschnitt Fehlerbehebung bei CMEK.

    • Wenn der Wert von kmsServiceAccountId das Präfix cmek- hat, fahren Sie mit dem nächsten Schritt fort.

  3. Prüfen Sie, ob Sie Dienstkonten migrieren müssen, indem Sie die domaineinschränkte Freigabe deaktivieren oder den Cloud Key Management Service aus der Liste der eingeschränkten Dienste von VPC Service Controls entfernen.

    Wenn die Fehler behoben sind, müssen Sie die betroffenen Ressourcen zu einem neuen Dienstkonto migrieren, um die Fehler zu beheben. Weitere Informationen zu diesen Schritten finden Sie im nächsten Abschnitt.

CMEK-Dienstkonten migrieren

Im Folgenden wird beschrieben, wie Sie das Dienstkonto ändern, das Cloud Logging für den Zugriff auf konfigurierte Cloud Key Management Service-Schlüssel verwendet. Durch die Änderung des Dienstkontos wird ein bekanntes Problem mit VPC Service Controls und der bereichsbeschränkten Freigabe behoben.

  1. Identifizieren Sie den loggingServiceAccountId für Ihre Ressource. Eine Ressource kann ein Projekt, ein Ordner oder eine Organisation sein. Wenn Sie Log-Buckets mit aktiviertem CMEK erstellt haben, wählen Sie die PROJECT-Ressource aus.

    PROJEKT 

    gcloud logging settings describe --project=PROJECT_ID

    Ersetzen Sie vor der Ausführung des Befehls PROJECT_ID durch die Projekt-ID, die den Protokoll-Bucket enthält.

    ORDNER 

    gcloud logging settings describe --folder=FOLDER_ID

    Ersetzen Sie vor dem Ausführen des Befehls FOLDER_ID durch die ID des Ordners.

    Organisation 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Ersetzen Sie vor dem Ausführen des Befehls ORGANIZATION_ID durch die ID der Organisation.

    Die Ausgabe des vorherigen Befehls sieht in etwa so aus:

    kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

    Für Organisationen und Ordner wird außerdem das folgende Feld zurückgegeben:

    kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

    Der Wert des kmsKeyName-Felds enthält das Google Cloud-Projekt, in dem der Schlüssel gespeichert ist.

  2. Wenn Sie eine Standardressourceneinstellung für Ihre Organisation oder für Ordner konfiguriert haben, gehen Sie so vor:

    1. Weisen Sie in KMS_PROJECT_ID dem Dienstkonto, das im Feld loggingServiceAccountId angegeben ist, die Rolle Cloud Key Management Service CryptoKey-Verschlüsseler/Entschlüsseler zu.

    2. Führen Sie den folgenden curl-Befehl aus, um das von der Ressource verwendete Cloud Key Management Service-Dienstkonto zu ändern.

      PROJEKT

      Nicht zutreffend.

      ORDNER 

      curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" -H "Content-Type: application/json; charset=utf-8" -d '{"kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"}' https://logging.googleapis.com/v2/folders/FOLDER_ID/settings?updateMask=kmsServiceAccountId

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie FOLDER_ID durch die ID des Ordners.
      • Ersetzen Sie SERVICE_ACCT_NAME durch den zuvor angegebenen loggingServiceAccountId-Wert.

      Organisation 

      curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" -H "Content-Type: application/json; charset=utf-8" -d '{"kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"}' https://logging.googleapis.com/v2/organizations/ORGANIZATION_ID/settings?updateMask=kmsServiceAccountId

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie ORGANIZATION_ID durch die ID der Organisation.
      • Ersetzen Sie SERVICE_ACCT_NAME durch den zuvor angegebenen loggingServiceAccountId-Wert.

      Das Ergebnis des vorherigen Befehls sieht in etwa so aus:

      {
  "name": ".../settings",
  "kmsKeyName": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY",
  "kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com",
  "storageLocation": "...",
  "loggingServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"
}

  3. Führen Sie für jedes Google Cloud-Projekt oder jeden Ordner, der vorhandene Log-Buckets mit CMEK enthält, die folgenden Schritte aus:

    1. Führen Sie im Projekt oder Ordner für jeden Log-Bucket, der mit CMEK aktiviert ist, die folgenden Schritte aus:

      1. Geben Sie das Google Cloud-Projekt an, in dem der Cloud Key Management Service-Schlüssel gespeichert ist:

        PROJEKT 

        gcloud logging buckets describe BUCKET_ID --location=LOCATION --project=PROJECT_ID

        Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

        • Ersetzen Sie PROJECT_ID durch die Projekt-ID, die den Protokoll-Bucket enthält.
        • Ersetzen Sie LOCATION durch den Speicherort des Protokoll-Buckets.

        ORDNER 

        gcloud logging buckets describe BUCKET_ID --location=LOCATION --folder=FOLDER_ID

        Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

        • Ersetzen Sie FOLDER_ID durch die ID des Ordners.
        • Ersetzen Sie LOCATION durch den Speicherort des Protokoll-Buckets.

        Das Ergebnis des vorherigen Befehls sieht in etwa so aus:

        cmekSettings:
  kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
  kmsKeyVersionName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/1
  serviceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
createTime: '2022-10-31T12:00:00.0000000Z'
lifecycleState: ACTIVE
name: projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_ID
retentionDays: 30
createTime: '2022-10-31T13:00:00.0000000Z'

      2. Rufen Sie das Google Cloud-Projekt auf, zu dem der Cloud Key Management Service-Schlüssel KMS_PROJECT_ID gehört, und weisen Sie dem Dienstkonto, das im Feld loggingServiceAccountId angegeben ist, die Rolle Cloud Key Management Service CryptoKey Encrypter/Decrypter zu.

    2. Führen Sie für das Projekt den folgenden curl-Befehl aus, um das Dienstkonto für den Cloud Key Management Service zu ändern:

      PROJEKT 

      curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" -H "Content-Type: application/json; charset=utf-8" -d '{"kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"}' https://logging.googleapis.com/v2/projects/PROJECT_ID/settings?updateMask=kmsServiceAccountId

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie PROJECT_ID durch die Projekt-ID, die den Protokoll-Bucket enthält.
      • Ersetzen Sie SERVICE_ACCT_NAME durch den zuvor angegebenen loggingServiceAccountId-Wert.

      ORDNER

      Keine Maßnahmen erforderlich, da Sie in einem vorherigen Schritt das Cloud Key Management Service-Dienstkonto geändert haben, das vom Ordner verwendet wird.

      Das Ergebnis des vorherigen Befehls sieht in etwa so aus:

      {
  "name": ".../settings",
  "kmsServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com",
  "loggingServiceAccountId": "SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com"
}

  4. Führen Sie für jeden Log-Bucket mit aktiviertem CMEK die folgenden Schritte aus:

    1. Rotieren Sie den Cloud KMS-Schlüssel.

    2. Bestätigen Sie die Migration. Die übergeordnete Ressource für den Log-Bucket bestimmt, welcher Google Cloud CLI-Befehl ausgeführt wird. Das übergeordnete Element kann ein Projekt, ein Ordner oder eine Organisation sein.

      PROJEKT 

      gcloud logging buckets describe BUCKET_ID --location=LOCATION --project=PROJECT_ID

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie PROJECT_ID durch die Projekt-ID, die den Protokoll-Bucket enthält.
      • Ersetzen Sie LOCATION durch den Speicherort des Protokoll-Buckets.

      ORDNER 

      gcloud logging buckets describe BUCKET_ID --location=LOCATION --folder=FOLDER_ID

      Führen Sie vor dem Ausführen des Befehls die folgenden Schritte aus:

      • Ersetzen Sie FOLDER_ID durch die ID des Ordners.
      • Ersetzen Sie LOCATION durch den Speicherort des Protokoll-Buckets.

      Für ein Projekt sieht das Ergebnis des vorherigen Befehls in etwa so aus:

      cmekSettings:
  kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
  kmsKeyVersionName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/1
  serviceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
createTime: '2022-10-31T12:00:00.0000000Z'
lifecycleState: ACTIVE
name: projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_ID
retentionDays: 30
createTime: '2022-10-31T13:00:00.0000000Z'

      Achten Sie darauf, dass serviceAccountId mit dem zuvor identifizierten loggingServiceAccountId übereinstimmt.

  5. Warten Sie mindestens 30 Minuten, bevor Sie die Berechtigungen für das vorherige Dienstkonto widerrufen. Wenn nach dem Entziehen von Berechtigungen für das vorherige Dienstkonto Probleme auftreten, stellen Sie die Berechtigungen wieder her und wenden Sie sich an den Cloud-Support.

CMEK-Fehler beheben

Bei der Konfiguration von CMEK wird das Google Cloud-Projekt, das den Cloud KMS-Schlüssel enthält, über relevante Probleme benachrichtigt. Beispiel: Aktualisierungen schlagen fehl, wenn KMS_KEY_NAME ungültig ist, wenn das zugehörige Dienstkonto nicht die erforderliche Rolle Cloud Key Management Service CryptoKey-Ver-/Entschlüsseler hat oder wenn der Zugriff auf den Schlüssel deaktiviert ist.

Nachdem Sie CMEK konfiguriert haben, geschieht mindestens eines der folgenden Dinge:

  • Sie haben eine Benachrichtigung von Cloud Logging zu Problemen mit dem CMEK-Zugriff erhalten.

  • Sie stellen fest, dass CMEK für die Log-Buckets _Default und _Required nicht aktiviert ist, wenn Sie neue Google Cloud-Projekte in Ihrer Organisation oder in einem Ordner erstellen.

  • Sie erhalten Fehler, wenn Sie Daten aus Log-Buckets mit aktiviertem CMEK lesen oder versuchen, Log-Buckets zu erstellen oder zu aktualisieren.

Die Benachrichtigung enthält Informationen zum Fehler und Maßnahmen zur Behebung des Problems:

Fehler Empfehlung
Berechtigung für kryptografischen Schlüssel verweigert

Dem mit Ihrem Google Cloud-Projekt verknüpften Logging-Dienstkonto fehlen die erforderlichen IAM-Berechtigungen für den angegebenen Cloud KMS-Schlüssel. Folgen Sie der Anleitung in der Fehlermeldung oder lesen Sie die folgenden Dokumente:
Kryptografischer Schlüssel ist deaktiviert Der angegebene Cloud KMS-Schlüssel war deaktiviert. Folgen Sie der Anleitung in der Fehlermeldung, um den Schlüssel wieder zu aktivieren.
Kryptografischer Schlüssel wurde gelöscht

Der angegebene Cloud KMS-Schlüssel war gelöscht. Folgen Sie der Anleitung oder lesen Sie die folgenden Dokumente:

Projekt mit dem Cloud KMS-Schlüssel identifizieren

So ermitteln Sie die ID des Google Cloud-Projekts, das den Verschlüsselungsschlüssel enthält, der von einem Log-Bucket, Ordner oder einer Organisation verwendet wird:

PROJEKT 

gcloud logging settings describe --project=PROJECT_ID

Ersetzen Sie vor der Ausführung des Befehls PROJECT_ID durch die Projekt-ID, die den Protokoll-Bucket enthält.

ORDNER 

gcloud logging settings describe --folder=FOLDER_ID

Ersetzen Sie vor dem Ausführen des Befehls FOLDER_ID durch die ID des Ordners.

Organisation 

gcloud logging settings describe --organization=ORGANIZATION_ID

Ersetzen Sie vor dem Ausführen des Befehls ORGANIZATION_ID durch die ID der Organisation.

Die Ausgabe des vorherigen Befehls sieht in etwa so aus:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

Für Organisationen und Ordner wird außerdem das folgende Feld zurückgegeben:

kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

Der Wert des kmsKeyName-Felds enthält das Google Cloud-Projekt, in dem der Schlüssel gespeichert ist.

Schlüssel auf Nutzbarkeit prüfen

Führen Sie folgenden Befehl zur Auflistung aller Schlüssel aus, um den Schlüssel auf Nutzbarkeit zu prüfen:

gcloud kms keys list \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING

Dieser Befehl gibt Informationen zu den einzelnen Schlüsseln in einem Tabellenformat zurück. Die erste Zeile der Ausgabe ist eine Liste an Spaltennamen:

NAME PURPOSE ...

Prüfen Sie, ob in der Befehlsausgabe Cloud KMS CryptoKey als ENABLED aufgeführt und als Schlüsselzweck die symmetrische Verschlüsselung angegeben ist: Die Spalte PURPOSE muss ENCRYPT_DECRYPT enthalten und die Spalte PRIMARY_STATE muss ENABLED enthalten.

Bei Bedarf können Sie einen neuen Schlüssel erstellen.

Berechtigungskonfiguration prüfen

Dienstkonten, die mit den CMEK-Einstellungen der Organisation verknüpft sind, müssen die Rolle Cloud KMS CryptoKey-Ver-/Entschlüsseler für den konfigurierten Schlüssel haben.

Führen Sie den folgenden Befehl aus, um die IAM-Richtlinie des Schlüssels abzurufen:

gcloud kms keys get-iam-policy KMS_KEY_NAME

Fügen Sie dem Schlüssel bei Bedarf das Dienstkonto hinzu, das die Rolle "Cloud KMS CryptoKey-Ver-/Entschlüsseler“ enthält.