Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Referencia de errores de Cloud EKM

En este tema se explica cómo interpretar y solucionar los errores que pueden producirse al usar Cloud External Key Manager (Cloud EKM).

Estructura de un error

La estructura de los mensajes de error ofrece la mayor granularidad posible para ayudarte a diagnosticar y solucionar el problema. Los errores se devuelven en una estructura google.rpc.Status. Dentro de esa estructura:

El campo google.rpc.Status.code muestra la categoría general del error.
El campo google.rpc.Status.message muestra un mensaje legible para humanos, incluidos detalles sobre la acción específica que se ha intentado y sugerencias dependientes del contexto para solucionar el error.
Si google.rpc.Status.code es FAILED_PRECONDITION, la estructura google.rpc.PreconditionFailure es legible por máquinas. Contiene dos estructuras violation.
- violation[0] contiene información sobre el estado de la clave de Cloud EKM.
- violation[1] contiene información sobre el intento de ponerse en contacto con el sistema del colaborador de gestión de claves externo.
  
  El violation[1].type contiene información sobre el tipo de error. Cloud EKM denomina a esta información "dominio de error".
  
  Si estos errores persisten, póngase en contacto con el equipo de Asistencia del partner de gestión de claves externas.

En esta referencia, los mensajes de google.rpc.Status.message se han acortado para facilitar la lectura. La parte truncada incluye información como la URI de clave externa o la ruta de la clave.

Solución de problemas

Los errores que se producen al usar Cloud EKM pueden deberse a problemas con errores de entrada, Cloud EKM, el sistema del partner de gestión de claves externo, las comunicaciones entre ellos u otros factores. Puede consultar información específica para solucionar problemas en la sección de cada tipo de error.

En función del tipo de error, puede que tengas que ponerte en contacto con el equipo de Asistencia de Cloud EKM o con el del sistema del partner de gestión de claves externo.

Si el error no aparece en las tablas de abajo, consulta el artículo Solucionar problemas de EKM a través de VPC.

Errores de entrada

Sigue los consejos para solucionar el problema que se indican en el campo google.rpc.Status.message del error. Si el problema persiste, ponte en contacto con el Trusted Cloud equipo de Asistencia.

A menos que se indique lo contrario, los errores de esta sección tienen un google.rpc.Status.code de FAILED_PRECONDITION.

`google.rpc.Status.message`	`violation[1].type` (Error domain)	Solución de problemas
`Permission was denied when accessing the EKM_ELEMENT.`	`EXTERNAL_PERMISSION_DENIED`	Si `EKM_ELEMENT` es `key`, Cloud EKM también inhabilita la versión de la clave. Concede los permisos pertinentes en tu gestor de claves externo y vuelve a intentarlo rotando la clave de Cloud EKM. Si `EKM_ELEMENT` es `crypto space` o `EKM host`, concede el rol o los permisos adecuados a la cuenta de servicio y vuelve a intentarlo.
`Could not find a EKM_ELEMENT` o `Could not query EKM host.`	`EXTERNAL_NOT_FOUND`	Si `EKM_ELEMENT` es `key`, comprueba que el URI de la clave externa o la ruta de la clave sean correctos. Cuando `EKM_ELEMENT` sea `crypto space`, comprueba que la ruta del espacio criptográfico sea correcta. Cuando no se puede consultar un `EKM host`, comprueba que el nombre de host de EKM sea correcto. Si están escritas correctamente, ponte en contacto con el equipo de Asistencia del partner del sistema de gestión de claves externo.
`Key URI has invalid format.`	`EXTERNAL_KEY_URI_INVALID`	Comprueba que el URI de la clave de esta solicitud sea correcto y vuelve a intentarlo rotando la clave de Cloud EKM.
`Key URI host is not supported.`	`EXTERNAL_KEY_HOST_NOT_WHITELISTED`	Comprueba que el URI de la clave sea correcto. Si estás gestionando tu propia implementación del sistema del partner de gestión de claves externas, ponte en contacto con el Trusted Cloud equipo de Asistencia. Si no es así, póngase en contacto con el servicio de asistencia del sistema del partner de gestión de claves externo.
`Could not resolve the domain name for EKM_ELEMENT.`	`DNS`	Comprueba que el URI de la clave, la ruta de la clave, el espacio criptográfico o el nombre de host de EKM sean correctos. Si es así, ponte en contacto con el servicio de asistencia del sistema del partner de gestión de claves externas.

Errores que se pueden volver a intentar

Sigue los consejos para solucionar el problema que se indican en el campo google.rpc.Status.message del error. Si observas que se agota el tiempo de espera o que se producen errores de red con frecuencia, asegúrate de que la ubicación geográfica de tus claves de Cloud EKM esté lo más cerca posible de la región que utilices para las claves externas. Si el problema persiste, ponte en contacto con el equipo de Asistencia del partner externo de gestión de claves.

A menos que se indique lo contrario, los errores de esta sección tienen google.rpc.Status.code de FAILED_PRECONDITION. EKM_ELEMENT puede tener uno de estos valores: key, crypto space o EKM host.

`google.rpc.Status.message`	`violation[1].type` (Error domain)
`Throttled when trying to access key URI.`	`EXTERNAL_RESOURCE_EXHAUSTED`
`Could not reach the EKM_ELEMENT due to an external networking error.`	`UNREACHABLE_NETWORK`
`Could not reach the EKM_ELEMENT because the external key manager reports that it is overloaded.`	`OVERLOADED_EKM`
`Timed out when trying to access the EKM_ELEMENT.`	`TIMEOUT`
Este error suele producirse cuando el EKM tarda demasiado en responder. La lentitud puede deberse a que el EKM recibe más solicitudes de las que puede gestionar o a que la latencia de la red es demasiado alta.	`REQUEST_CANCELLED`

Errores del sistema de gestión de claves externo

Si se producen estos errores y persisten, ponte en contacto con el equipo de Asistencia del partner de gestión de claves externas.

`google.rpc.Status.message`	`violation[1].type` (Error domain)
`Could not validate the TLS server certificate for the EKM_ELEMENT.`	`TLS_CERT`
`Got garbled or unusable response when trying to access the EKM_ELEMENT.`	`UNEXPECTED_RESPONSE`
`External server error when trying to access the EKM_ELEMENT.`	`EXTERNAL_SERVER_ERROR`
`The external key manager indicated they have not implemented the appropriate method to support Cloud KMS's EKM_API.` `EKM_API` puede ser `AsymmetricSign`, `CheckCryptoSpacePermissions`, `CreateKey`, `Decrypt`, `DestroyKey`, `Encrypt`, `GetInfo` o `GetPublicKey`.	`EXTERNAL_NOT_IMPLEMENTED`
`Got unexpected error when trying to access the EKM_ELEMENT.`	`UNEXPECTED_ERROR`
`Decryption failed: The EKM reports that decryption failed.` Esto significa que el URI de la clave es válido, pero el sistema del partner de gestión de claves externo no ha podido descifrar el blob encapsulado ni los datos autenticados adicionales (AAD). `google.rpc.Status.code` es `INVALID_ARGUMENT`.	`DECRYPTION_FAILED`

Obtener asistencia

Si se produce un error que no aparece en esta referencia, ponte en contacto con elTrusted Cloud equipo de Asistencia.