Ce document explique comment résoudre les problèmes liés aux clés de chiffrement gérées par le client (CMEK) et aux règles d'administration sur la résidence des données dans Spanner. Pour vous aider à surveiller votre parc de bases de données, Database Center détecte les cas de non-respect des règles d'organisation CMEK et de résidence des données à l'aide du vérification de l'état'état suivant :
Un cas de non-respect de la règle d'administration Règle d'administration de chiffrement non respectée indique qu'une règle d'administration CMEK sur une base de données Spanner n'est pas respectée.
Un non-respect de la règle Règle d'administration d'emplacement non respectée indique qu'une base de données se trouve dans une région non autorisée par une règle d'administration. Cela peut se produire lorsqu'une base de données a été créée dans une région autorisée, mais qu'une règle d'administration a ensuite interdit cette région.
Si vous constatez ces cas de non-respect dans le Centre de données, utilisez la section de ce document pour résoudre le problème. Pour en savoir plus sur le centre de bases de données, consultez la présentation du centre de bases de données.
Résoudre les problèmes de non-respect de CMEK
Si une violation de la règle d'administration de l'organisation concernant le chiffrement se produit sur une base de données Spanner dans le Centre de données, vous devez créer une base de données à partir d'une sauvegarde de la base de données sur laquelle la violation s'est produite. Pour en savoir plus sur les CMEK dans Spanner, consultez la présentation des CMEK. Pour en savoir plus sur les CMEK dans Cloud Key Management Service, consultez Clés de chiffrement gérées par le client. Pour créer une base de données à partir d'une sauvegarde, procédez comme suit :
Si vous n'avez pas de trousseau de clés, créez-en un en suivant les étapes de la section Créer un trousseau de clés.
Si vous ne disposez pas d'une clé gérée par le client valide, créez-en une en suivant les étapes décrites dans Créer une clé.
Créez une sauvegarde de la base de données contenant le non-respect des règles. Pour en savoir plus, consultez Créer une sauvegarde. Vous pouvez utiliser une clé de chiffrement lorsque vous créez la sauvegarde. Si ce n'est pas le cas, vous pouvez spécifier une clé de chiffrement à l'étape suivante.
Restaurez la sauvegarde en suivant la procédure décrite dans Restaurer à partir d'une sauvegarde. Lorsque vous créez votre base de données restaurée, choisissez l'une des options suivantes :
Si vous avez utilisé une clé CMEK lors de la création de la sauvegarde, sélectionnez Utiliser le chiffrement existant.
Si vous n'avez pas chiffré la sauvegarde, sélectionnez Clé Cloud KMS.
Résoudre les problèmes liés au non-respect de la résidence des données
Si une erreur Règles d'administration de l'organisation concernant l'emplacement non respectées se produit sur une base de données Spanner dans le centre de données, vous devez déplacer la base de données vers une instance située dans une région autorisée. Pour en savoir plus sur les régions autorisées, consultez Emplacements des ressources.
Pour déplacer une base de données, procédez comme suit :
Assurez-vous de disposer d'une instance disponible dans une région autorisée. Pour afficher la liste des configurations d'instance disponibles, exécutez la commande Google Cloud CLI suivante :
gcloud spanner instance-configs listSi vous devez créer une instance, consultez Créer une configuration d'instance personnalisée.
Exécutez la commande
gcloud spanner instances movepour déplacer la base de données vers la nouvelle instance.
Pour empêcher la création d'une base de données dans une région, ajoutez la région à la liste denied_values lorsque vous définissez la règle d'administration pour la base de données. Pour en savoir plus, consultez Définir la règle d'administration.