解決機構政策違規問題

本文說明如何排解 Spanner 中客戶代管加密金鑰 (CMEK) 和資料落地組織政策違規事項。為協助您監控資料庫機群，Database Center 會使用下列健康狀態檢查，偵測 CMEK 和資料駐留機構政策違規事項：

• 不符合加密機構政策違規事項表示 Spanner 資料庫的 CMEK 機構政策不符合規定。

• 如果出現「不符合位置組織政策」違規事項，表示資料庫位於組織政策不允許的區域。如果資料庫是在允許的區域中建立，但建立後組織政策禁止該區域，就可能發生這種情況。

如果資料庫中心顯示這類違規事項，請參閱本文主題修正問題。如要進一步瞭解 Database Center，請參閱「Database Center 總覽」。

排解 CMEK 違規問題

如果資料庫中心顯示 Spanner 資料庫發生「未滿足加密組織政策」違規情形，您需要從發生違規情形的資料庫備份建立新資料庫。如要進一步瞭解 Spanner 中的 CMEK，請參閱 CMEK 總覽。如要進一步瞭解 Cloud Key Management Service 中的 CMEK，請參閱客戶代管的加密金鑰。如要從備份檔建立新資料庫，請按照下列步驟操作：

1. 如果沒有金鑰環，請按照「建立金鑰環」一文中的步驟建立。

2. 如果沒有有效的客戶管理金鑰，請按照「建立金鑰」一文中的步驟建立金鑰。

3. 備份違反政策的資料庫。詳情請參閱「建立備份」。建立備份時，您可以使用加密金鑰。如果沒有，您可以在下一個步驟中指定加密金鑰。

4. 按照「從備份還原」一文中的步驟還原備份。建立還原的資料庫時，請選擇下列其中一個選項：

   • 如果您在建立備份時使用 CMEK 金鑰，請選擇「使用現有加密」。

   • 如果備份未加密，請選擇「Cloud KMS 金鑰」。

排解資料落地權違規問題

如果資料庫中心顯示 Spanner 資料庫發生「不符合位置機構政策」違規情形，您需要將資料庫移至允許的區域。如要進一步瞭解允許的區域，請參閱「資源位置」。

如要移動資料庫，請按照下列步驟操作：

1. 請確認您在允許的區域中擁有可用的執行個體。如要查看可用執行個體設定的清單，請執行下列 Google Cloud CLI 指令：

   gcloud spanner instance-configs list
   

   如需建立新的執行個體，請參閱建立自訂執行個體設定。

2. 使用 gcloud spanner instances move 指令將資料庫移至新執行個體。

如要禁止在特定區域建立資料庫，請在設定資料庫的機構政策時，將該區域新增至 denied_values 清單。詳情請參閱「設定組織政策」。