Questo documento descrive come risolvere le violazioni dei criteri dell'organizzazione relative alla chiave di crittografia gestita dal cliente (CMEK) e alla residenza dei dati in Spanner. Per aiutarti a monitorare il parco di database, Database Center rileva le violazioni dei criteri dell'organizzazione CMEK e di residenza dei dati utilizzando il seguente controllo di integrità:
Una violazione della policy dell'organizzazione per la crittografia non soddisfatta indica che una policy dell'organizzazione CMEK su un database Spanner non è soddisfatta.
Una violazione Policy dell'organizzazione per la località non soddisfatta indica che un database si trova in una regione non consentita da una policy dell'organizzazione. Ciò può accadere quando un database è stato creato in una regione consentita, ma dopo la creazione del database una policy dell'organizzazione ha vietato la regione.
Se visualizzi queste violazioni nel Centro database, utilizza l'argomento di questo documento per risolvere il problema. Per saperne di più su Database Center, vedi Panoramica di Database Center.
Risolvere i problemi relativi alle violazioni di CMEK
Se in Database Center si verifica una violazione della policy dell'organizzazione relativa alla crittografia non soddisfatta in un database Spanner, devi creare un nuovo database da un backup del database in cui si è verificata la violazione. Per scoprire di più su CMEK in Spanner, consulta la panoramica di CMEK. Per scoprire di più sulle chiavi CMEK in Cloud Key Management Service, consulta Chiavi di crittografia gestite dal cliente. Per creare un nuovo database da un backup:
Se non hai una chiave automatizzata, creane una seguendo i passaggi descritti in Creare una chiave automatizzata.
Se non hai una chiave gestita dal cliente valida, creane una seguendo i passaggi in Crea una chiave.
Crea un backup del database con la violazione delle norme. Per ulteriori informazioni, vedi Creare un backup. Puoi utilizzare una chiave di crittografia quando crei il backup. In caso contrario, puoi specificare una chiave di crittografia nel passaggio successivo.
Ripristina il backup seguendo i passaggi descritti in Ripristinare da un backup. Scegli una delle seguenti opzioni quando crei il database ripristinato:
Se hai utilizzato una chiave CMEK durante la creazione del backup, scegli Utilizza la crittografia esistente.
Se non hai criptato il backup, scegli Chiave Cloud KMS.
Risolvere i problemi relativi alle violazioni della residenza dei dati
Se nel Centro database si verifica una violazione Norme dell'organizzazione relative alla località non soddisfatte in un database Spanner, devi spostare il database in un'istanza che si trova in una regione consentita. Per saperne di più sulle regioni consentite, consulta Località delle risorse.
Per spostare un database:
Assicurati di avere un'istanza disponibile in una regione consentita. Per visualizzare un elenco delle configurazioni di istanza disponibili, esegui questo comando di Google Cloud CLI:
gcloud spanner instance-configs listSe devi creare una nuova istanza, vedi Creare una configurazione dell'istanza personalizzata.
Utilizza il comando
gcloud spanner instances moveper spostare il database nella nuova istanza.
Per impedire la creazione di un database in una regione, aggiungi la regione all'elenco
denied_values quando imposti il criterio dell'organizzazione per il database. Per
maggiori informazioni, consulta
Imposta la policy dell'organizzazione.