In diesem Dokument wird beschrieben, wie häufige CMEK-Konfigurationsfehler identifiziert und behoben werden können. Außerdem wird beschrieben, wie Sie Fehler identifizieren, die bei der Konfiguration der Standardressourceneinstellungen für Cloud Logging auftreten. Diese Einstellungen können für Organisationen und Ordner konfiguriert werden.
Fehlerbehebung beim Festlegen des Standorts für neue, vom System erstellte Log-Buckets
Sie versuchen, die Standardressourceneinstellungen für Cloud Logging für eine Organisation oder einen Ordner zu aktualisieren. Ihre Aktualisierung besteht entweder darin, die Standorteinstellung festzulegen oder zu ändern. Der Befehl schlägt jedoch mit einem Fehler ähnlich dem folgenden fehl:
ERROR: (gcloud.logging.settings.update) INVALID_ARGUMENT: The KMS key location must match the storage location. Received KMS key location: us-central1, storage location: us-west1
- '@type': type.googleapis.com/google.rpc.DebugInfo
detail: '[ORIGINAL ERROR] generic::invalid_argument: The KMS key location must match
the storage location. Received KMS key location: us-central1, storage location:
us-west1 [google.rpc.error_details_ext] { message: "The KMS key location must
match the storage location. Received KMS key location: us-central1, storage location:
us-west1" }'
Zur Behebung dieses Fehlers legen Sie für den Standort in den Standardressourceneinstellungen den Standort des Cloud Key Management Service-Schlüssels fest.
Fehlerbehebung bei CMEK
Bei der Konfiguration von CMEK wird das Cloud de Confiance Projekt, das den Cloud KMS-Schlüssel enthält, über relevante Probleme benachrichtigt. Beispiel: Aktualisierungen schlagen fehl wenn der KMS_KEY_NAME ungültig ist, wenn das zugehörige Dienstkonto nicht die erforderliche Rolle Cloud Key Management Service CryptoKey-Ver-/Entschlüsseler hat oder wenn der Zugriff auf den Schlüssel deaktiviert ist.
Nachdem Sie CMEK konfiguriert haben, tritt mindestens eines der folgenden Ereignisse ein:
Sie haben eine Benachrichtigung von Cloud Logging über CMEK-Zugriffsprobleme erhalten.
Sie stellen fest, dass CMEK für die
_Defaultund_RequiredLog-Buckets nicht aktiviert ist, wenn Sie neue Cloud de Confiance Projekte in Ihrer Organisation oder in einem Ordner erstellen.Beim Lesen aus Log-Buckets mit aktiviertem CMEK oder beim Erstellen oder Aktualisieren von Log-Buckets treten Fehler auf.
Die Benachrichtigung enthält Informationen zum Fehler und Schritte, die Sie zur Behebung des Problems ausführen können:
| Fehler | Empfehlung |
|---|---|
| Berechtigung für kryptografischen Schlüssel verweigert | Dem mit Ihrem Cloud de Confiance Projekt verknüpfte Logging-Dienstkonto fehlen die erforderlichen IAM Berechtigungen für den angegebenen Cloud KMS-Schlüssel. Folgen Sie der Anleitung in der Fehlermeldung oder lesen Sie die folgenden Dokumente: |
| Kryptografischer Schlüssel ist deaktiviert | Der angegebene Cloud KMS-Schlüssel war deaktiviert. Folgen Sie der Anleitung in der Fehlermeldung, um den Schlüssel wieder zu aktivieren. |
| Kryptografischer Schlüssel wurde gelöscht | Der angegebene Cloud KMS-Schlüssel war gelöscht. Folgen Sie der Anleitung oder lesen Sie die folgenden Dokumente: |
Projekt ermitteln, das den Cloud KMS-Schlüssel enthält
So ermitteln Sie die ID des Cloud de Confiance Projekts, das den Verschlüsselungsschlüssel enthält, der von einem Log-Bucket, Ordner oder einer Organisation verwendet wird:
PROJEKT
gcloud logging settings describe --project=PROJECT_ID
Ersetzen Sie vor dem Ausführen des Befehls PROJECT_ID durch die Projekt-ID, die den Log-Bucket enthält.
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Ersetzen Sie vor dem Ausführen des Befehls FOLDER_ID durch die ID des Ordners.
Organisation
gcloud logging settings describe --organization=ORGANIZATION_ID
Ersetzen Sie vor dem Ausführen des Befehls ORGANIZATION_ID durch die ID von der Organisation.
Der vorherige Befehl gibt Informationen ähnlich den folgenden zurück:
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com
Für Organisationen und Ordner wird auch das folgende Feld zurückgegeben:
kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
Der Wert des kmsKeyName Felds enthält das Cloud de Confiance Projekt, in dem
der Schlüssel gespeichert ist.
Schlüssel auf Nutzbarkeit prüfen
Führen Sie folgenden Befehl zur Auflistung aller Schlüssel aus, um den Schlüssel auf Nutzbarkeit zu prüfen:
gcloud kms keys list \ --location=KMS_KEY_LOCATION \ --keyring=KMS_KEY_RING
Dieser Befehl gibt Informationen zu den einzelnen Schlüsseln in einem Tabellenformat zurück. Die erste Zeile der Ausgabe ist eine Liste an Spaltennamen:
NAME PURPOSE ...
Prüfen Sie, ob in der Befehlsausgabe Cloud KMS CryptoKey als ENABLED aufgeführt und als Schlüsselzweck die symmetrische Verschlüsselung angegeben ist: Die Spalte PURPOSE muss ENCRYPT_DECRYPT enthalten und die Spalte PRIMARY_STATE muss ENABLED enthalten.
Bei Bedarf können Sie einen neuen Schlüssel erstellen.
Berechtigungskonfiguration prüfen
Dienstkonten, die mit den CMEK-Einstellungen der Organisation verknüpft sind, müssen die Rolle Cloud KMS CryptoKey-Ver-/Entschlüsseler für den konfigurierten Schlüssel haben.
Führen Sie den folgenden Befehl aus, um die IAM-Richtlinie des Schlüssels abzurufen:
gcloud kms keys get-iam-policy KMS_KEY_NAME
Fügen Sie dem Schlüssel bei Bedarf das Dienstkonto hinzu, das die Rolle "Cloud KMS CryptoKey-Ver-/Entschlüsseler“ enthält.