En este documento, se describe cómo solucionar problemas relacionados con incumplimientos de la política de la organización sobre claves de encriptación administradas por el cliente (CMEK) y residencia de datos en Spanner. Para ayudarte a supervisar tu flota de bases de datos, Database Center detecta los incumplimientos de la política de la organización de CMEK y residencia de datos con la siguiente verificación de estado:
Un incumplimiento de Encryption org policy not satisfied indica que no se cumple una política de la organización de CMEK en una base de datos de Spanner.
Un incumplimiento de No se cumple con la política de la organización sobre la ubicación indica que una base de datos se encuentra en una región que no permite una política de la organización. Esto puede suceder cuando se creó una base de datos en una región permitida, pero, después de que se creó, una política de la organización prohibió la región.
Si ves estos incumplimientos en el Centro de bases de datos, usa el tema de este documento para solucionar el problema. Para obtener más información sobre Database Center, consulta la descripción general de Database Center.
Soluciona problemas relacionados con incumplimientos de CMEK
Si se produce un incumplimiento de la política de la organización sobre Encryption not satisfied en una base de datos de Spanner en el Centro de bases de datos, debes crear una base de datos nueva a partir de una copia de seguridad de la base de datos en la que se produjo el incumplimiento. Para obtener más información sobre CMEK en Spanner, consulta la Descripción general de CMEK. Para obtener más información sobre las CMEK en Cloud Key Management Service, consulta Claves de encriptación administradas por el cliente. Para crear una base de datos nueva a partir de una copia de seguridad, sigue estos pasos:
Si no tienes un llavero de claves, crea uno siguiendo los pasos que se indican en Crea un llavero de claves.
Si no tienes una clave administrada por el cliente válida, crea una siguiendo los pasos que se indican en Crea una clave.
Crea una copia de seguridad de la base de datos con el incumplimiento de política. Para obtener más información, consulta Crea una copia de seguridad. Puedes usar una clave de encriptación cuando crees la copia de seguridad. Si no lo haces, puedes especificar una clave de encriptación en el siguiente paso.
Restablece la copia de seguridad siguiendo los pasos que se indican en Cómo restablecer desde una copia de seguridad. Elige una de las siguientes opciones cuando crees tu base de datos restaurada:
Si usaste una clave de CMEK cuando creaste la copia de seguridad, elige Usar encriptación existente.
Si no encriptaste la copia de seguridad, elige Clave de Cloud KMS.
Soluciona problemas relacionados con incumplimientos de la residencia de datos
Si se produce un incumplimiento de la política de organización de la ubicación Location org policy not satisfied en una base de datos de Spanner en el Centro de bases de datos, debes mover la base de datos a una instancia que se encuentre en una región permitida. Para obtener más información sobre las regiones permitidas, consulta Ubicaciones de recursos.
Para mover una base de datos, sigue estos pasos:
Asegúrate de tener una instancia disponible en una región permitida. Para ver una lista de las configuraciones de instancias disponibles, ejecuta el siguiente comando de Google Cloud CLI:
gcloud spanner instance-configs listSi necesitas crear una instancia nueva, consulta Cómo crear una configuración de instancia personalizada.
Usa el comando
gcloud spanner instances movepara mover la base de datos a la instancia nueva.
Para evitar que se cree una base de datos en una región, agrega la región a la lista denied_values cuando configures la política de la organización para la base de datos. Para obtener más información, consulta Cómo establecer la política de la organización.