Este documento descreve como resolver problemas de violações da política da organização de residência de dados e da chave de encriptação gerida pelo cliente (CMEK) no Spanner. Para ajudar a monitorizar a sua frota de bases de dados, o Database Center deteta violações da política de residência de dados e CMEK através da seguinte verificação de estado:
Uma violação de Encryption org policy not satisfied indica que uma política da organização de CMEK não é cumprida numa base de dados do Spanner.
Uma violação de Location org policy not satisfied indica que uma base de dados está numa região que não é permitida por uma política da organização. Isto pode acontecer quando uma base de dados foi criada numa região permitida, mas, após a criação da base de dados, uma política da organização não permitiu a região.
Se vir estas violações no Database Center, use o tópico neste documento para corrigir o problema. Para saber mais acerca do centro de dados, consulte a vista geral do centro de dados.
Resolva problemas de violações de CMEK
Se ocorrer uma violação de Política org de encriptação não satisfeita numa base de dados do Spanner no centro de bases de dados, tem de criar uma nova base de dados a partir de uma cópia de segurança da base de dados na qual ocorreu a violação. Para saber mais sobre as CMEK no Spanner, consulte a vista geral das CMEK. Para saber mais sobre a CMEK no Cloud Key Management Service, consulte o artigo Chaves de encriptação geridas pelo cliente. Para criar uma nova base de dados a partir de uma cópia de segurança, siga estes passos:
Se não tiver um conjunto de chaves, crie um seguindo os passos em Crie um conjunto de chaves.
Se não tiver uma chave gerida pelo cliente válida, crie uma através dos passos descritos em Criar uma chave.
Crie uma cópia de segurança da base de dados com a violação de política. Para mais informações, consulte Crie uma cópia de segurança. Pode usar uma chave de encriptação quando cria a cópia de segurança. Caso contrário, pode especificar uma chave de encriptação no passo seguinte.
Restaure a cópia de segurança através dos passos descritos em Restaure a partir de uma cópia de segurança. Escolha uma das seguintes opções quando criar a base de dados restaurada:
Se usou uma chave CMEK quando criou a cópia de segurança, escolha Usar encriptação existente.
Se não encriptou a cópia de segurança, escolha chave do Cloud KMS.
Resolva problemas de violações da residência dos dados
Se ocorrer uma violação de Location org policy not satisfied numa base de dados do Spanner no Database Center, tem de mover a base de dados para uma instância que esteja numa região permitida. Para mais informações sobre as regiões permitidas, consulte o artigo Localizações de recursos.
Para mover uma base de dados, siga estes passos:
Certifique-se de que tem uma instância disponível numa região permitida. Para ver uma lista de configurações de instâncias disponíveis, execute o seguinte comando da CLI Google Cloud:
gcloud spanner instance-configs listSe precisar de criar uma nova instância, consulte o artigo Crie uma configuração de instância personalizada.
Use o comando
gcloud spanner instances movepara mover a base de dados para a nova instância.
Para impedir a criação de uma base de dados numa região, adicione a região à lista denied_values quando definir a política da organização para a base de dados. Para mais informações, consulte o artigo Defina a política da organização.