Este documento descreve como solucionar problemas de violações da política da organização de residência de dados e da chave de criptografia gerenciada pelo cliente (CMEK) no Spanner. Para ajudar você a monitorar sua frota de bancos de dados, o Database Center detecta violações de políticas da organização de CMEK e residência de dados usando a seguinte verificação de integridade:
Uma violação de Política da organização de criptografia não atendida indica que uma política da organização de CMEK em um banco de dados do Spanner não foi atendida.
Uma violação de Política da organização de local não atendida indica que um banco de dados está em uma região não permitida por uma política da organização. Isso pode acontecer quando um banco de dados é criado em uma região permitida, mas depois que ele é criado, uma política da organização não permite mais a região.
Se você encontrar essas violações na Central de banco de dados, use o tópico neste documento para corrigir o problema. Para saber mais sobre a central do banco de dados, consulte a visão geral da central do banco de dados.
Resolver problemas de violações do CMEK
Se ocorrer uma violação de Política da organização de criptografia não atendida em um banco de dados do Spanner no Centro de banco de dados, crie um novo banco de dados com base em um backup do banco de dados em que ocorreu a violação. Para saber mais sobre a CMEK no Spanner, consulte Visão geral da CMEK. Para saber mais sobre a CMEK no Cloud Key Management Service, consulte Chaves de criptografia gerenciadas pelo cliente. Para criar um banco de dados com base em um backup, siga estas etapas:
Se você não tiver um keyring, crie um seguindo as etapas em Criar um keyring.
Se você não tiver uma chave gerenciada pelo cliente válida, crie uma seguindo as etapas em Criar uma chave.
Crie um backup do banco de dados com a violação de política. Para mais informações, consulte Criar um backup. Você pode usar uma chave de criptografia ao criar o backup. Caso contrário, especifique uma chave de criptografia na próxima etapa.
Restaure o backup seguindo as etapas em Restaurar de um backup. Escolha uma das seguintes opções ao criar o banco de dados restaurado:
Se você usou uma chave CMEK ao criar o backup, escolha Usar criptografia atual.
Se você não criptografou o backup, escolha Chave do Cloud KMS.
Resolver violações de residência de dados
Se ocorrer uma violação de Política da organização de local não atendida em um banco de dados do Spanner na Central de bancos de dados, mova o banco de dados para uma instância em uma região permitida. Para mais informações sobre regiões permitidas, consulte Locais de recursos.
Para mover um banco de dados, siga estas etapas:
Verifique se você tem uma instância disponível em uma região permitida. Para conferir uma lista de configurações de instância disponíveis, execute o seguinte comando da Google Cloud CLI:
gcloud spanner instance-configs listSe você precisar criar uma instância, consulte Criar uma configuração de instância personalizada.
Use o comando
gcloud spanner instances movepara mover o banco de dados para a nova instância.
Para impedir que um banco de dados seja criado em uma região, adicione a região à lista
denied_values ao definir a política da organização para o banco de dados. Para
mais informações, consulte
Definir a política da organização.