In diesem Dokument wird beschrieben, wie Sie Verstöße gegen Organisationsrichtlinien für vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) und Datenstandort in Spanner beheben. Damit Sie Ihre Datenbankflotte besser überwachen können, erkennt das Database Center mithilfe der folgenden Systemstatusprüfung Verstöße gegen Organisationsrichtlinien für CMEK und Datenstandort:
Ein Verstoß vom Typ Organisationsrichtlinie für Verschlüsselung nicht erfüllt weist darauf hin, dass eine CMEK-Organisationsrichtlinie für eine Spanner-Datenbank nicht erfüllt ist.
Ein Verstoß vom Typ Organisationsrichtlinie für Standort nicht erfüllt weist darauf hin, dass sich eine Datenbank in einer Region befindet, die gemäß einer Organisationsrichtlinie nicht zulässig ist. Dies kann passieren, wenn eine Datenbank in einer zulässigen Region erstellt wurde, die Region aber nach der Erstellung der Datenbank durch eine Organisationsrichtlinie nicht mehr zulässig war.
Wenn Sie diese Verstöße im Database Center sehen, können Sie das Problem mithilfe des Themas in diesem Dokument beheben. Weitere Informationen zu Database Center finden Sie unter Database Center – Übersicht.
CMEK-Verstöße beheben
Wenn im Database Center ein Verstoß vom Typ Encryption org policy not satisfied (Organisationsrichtlinie zur Verschlüsselung nicht erfüllt) für eine Spanner-Datenbank auftritt, müssen Sie eine neue Datenbank aus einer Sicherung der Datenbank erstellen, in der der Verstoß aufgetreten ist. Weitere Informationen zu CMEK in Spanner finden Sie in der Übersicht zu CMEK. Weitere Informationen zu CMEK im Cloud Key Management Service finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel. So erstellen Sie eine neue Datenbank aus einer Sicherung:
Wenn Sie noch keinen Schlüsselbund haben, erstellen Sie einen anhand der Anleitung unter Schlüsselbund erstellen.
Wenn Sie keinen gültigen vom Kunden verwalteten Schlüssel haben, erstellen Sie einen anhand der Anleitung unter Schlüssel erstellen.
Erstellen Sie eine Sicherung der Datenbank mit dem Richtlinienverstoß. Weitere Informationen finden Sie unter Sicherung erstellen. Sie können beim Erstellen der Sicherung einen Verschlüsselungsschlüssel verwenden. Andernfalls können Sie im nächsten Schritt einen Verschlüsselungsschlüssel angeben.
Stellen Sie die Sicherung anhand der Schritte unter Aus einer Sicherung wiederherstellen wieder her. Wählen Sie beim Erstellen der wiederhergestellten Datenbank eine der folgenden Optionen aus:
Wenn Sie beim Erstellen der Sicherung einen CMEK-Schlüssel verwendet haben, wählen Sie Vorhandene Verschlüsselung verwenden aus.
Wenn Sie die Sicherung nicht verschlüsselt haben, wählen Sie Cloud KMS-Schlüssel aus.
Verstöße gegen den Datenstandort beheben
Wenn im Database Center ein Verstoß vom Typ Location org policy not satisfied (Organisationsrichtlinie für Standort nicht erfüllt) für eine Spanner-Datenbank auftritt, müssen Sie die Datenbank in eine Instanz verschieben, die sich in einer zulässigen Region befindet. Weitere Informationen zu zulässigen Regionen finden Sie unter Ressourcenstandorte.
So verschieben Sie eine Datenbank:
Achten Sie darauf, dass Sie eine verfügbare Instanz in einer zulässigen Region haben. Führen Sie den folgenden Google Cloud CLI-Befehl aus, um eine Liste der verfügbaren Instanzkonfigurationen aufzurufen:
gcloud spanner instance-configs listWenn Sie eine neue Instanz erstellen müssen, lesen Sie den Abschnitt Benutzerdefinierte Instanzkonfiguration erstellen.
Verwenden Sie den Befehl
gcloud spanner instances move, um die Datenbank in die neue Instanz zu verschieben.
Wenn Sie verhindern möchten, dass eine Datenbank in einer Region erstellt wird, fügen Sie die Region der Liste denied_values hinzu, wenn Sie die Organisationsrichtlinie für die Datenbank festlegen. Weitere Informationen finden Sie unter Organisationsrichtlinie festlegen.