Risolvere gli errori relativi a CMEK e alle impostazioni predefinite

Questo documento descrive come trovare e mitigare gli errori comuni di configurazione di CMEK e come identificare gli errori che si verificano durante l'impostazione della posizione predefinita della risorsa.

Risolvere i problemi relativi all'impostazione della località della risorsa predefinita

Provi ad aggiornare la posizione di archiviazione predefinita per un'organizzazione o una cartella, ma il comando non riesce con un errore simile al seguente:

ERROR: (gcloud.logging.settings.update) INVALID_ARGUMENT: The KMS key location must match the storage location. Received KMS key location: us-central1, storage location: us-west1
- '@type': type.googleapis.com/google.rpc.DebugInfo
  detail: '[ORIGINAL ERROR] generic::invalid_argument: The KMS key location must match
    the storage location. Received KMS key location: us-central1, storage location:
    us-west1 [google.rpc.error_details_ext] { message: "The KMS key location must
    match the storage location. Received KMS key location: us-central1, storage location:
    us-west1" }'

Per risolvere questo errore, imposta la posizione di archiviazione predefinita per l'organizzazione o la cartella in modo che corrisponda alla posizione della chiave Cloud Key Management Service per l'organizzazione o la cartella.

Risolvere i problemi relativi a CMEK

Durante la configurazione di CMEK, al Trusted Cloud progetto contenente la chiave Cloud KMS vengono inviati avvisi relativi ai problemi correlati. Ad esempio, gli aggiornamenti non vanno a buon fine quando KMS_KEY_NAME non è valido, quando l'account di servizio associato non dispone del ruolo obbligatorio Autore crittografia/decrittografia CryptoKey Cloud Key Management Service o quando l'accesso alla chiave è disattivato.

Dopo aver configurato CMEK, si verifica almeno una delle seguenti condizioni:

  • Hai ricevuto una notifica da Cloud Logging relativa a problemi di accesso a CMEK.

  • Noti che la crittografia lato client lato client non è attivata per i bucket di log _Default e _Required quando crei nuovi progetti nella tua organizzazione o in una cartella. Trusted Cloud

  • Ricevi errori quando leggi dai bucket di log con CMEK abilitato o se provi a creare o aggiornare i bucket di log.

La notifica fornisce informazioni sull'errore e contiene i passaggi che puoi svolgere per attenuare il problema:

Errore Consiglio
Autorizzazione alla chiave di crittografia negata

L'account di servizio Logging associato al tuo progetto Trusted Cloud non dispone di autorizzazioni IAM sufficienti per operare sulla chiave Cloud KMS specificata. Segui le istruzioni riportate nell'errore o consulta i seguenti documenti:

Chiave di crittografia disabilitata La chiave Cloud KMS specificata è stata disattivata. Segui le istruzioni riportate nell'errore per riattivare la chiave.
Chiave di crittografia eliminata

La chiave Cloud KMS specificata è stata eliminata. Segui le istruzioni o consulta i seguenti documenti:

Identifica il progetto che contiene la chiave Cloud KMS

Per identificare l'ID del Trusted Cloud progetto che contiene la chiave di crittografia utilizzata da un bucket di log, una cartella o un'organizzazione, procedi nel seguente modo:

PROGETTO

gcloud logging settings describe --project=PROJECT_ID

Prima di eseguire il comando, sostituisci PROJECT_ID con l'ID progetto che contiene il bucket dei log.

FOLDER

gcloud logging settings describe --folder=FOLDER_ID

Prima di eseguire il comando, sostituisci FOLDER_ID con l'ID della cartella.

ORGANIZZAZIONE

gcloud logging settings describe --organization=ORGANIZATION_ID

Prima di eseguire il comando, sostituisci ORGANIZATION_ID con l'ID dell'organizzazione.

Il comando precedente restituisce informazioni simili alle seguenti:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com

Per le organizzazioni e le cartelle, viene restituito anche il seguente campo:

kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

Il valore del campo kmsKeyName include il progetto Trusted Cloud che memorizza la chiave.

Verificare l'usabilità della chiave

Per verificare l'usabilità della chiave, esegui il seguente comando per elencare tutte le chiavi:

gcloud kms keys list \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING

Questo comando restituisce informazioni su ogni chiave in un formato tabulare. La prima riga dell'output è un elenco di nomi di colonna:

NAME PURPOSE ...

Verifica che la chiave Cloud KMS sia elencata nell'output del comando come ENABLED e che lo scopo della chiave sia la crittografia simmetrica: la colonna PURPOSE deve contenere ENCRYPT_DECRYPT e la colonna PRIMARY_STATE deve contenere ENABLED.

Se necessario, crea una nuova chiave.

Verifica la configurazione delle autorizzazioni

Gli account di servizio associati alle impostazioni CMEK dell'organizzazione devono avere il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per la chiave configurata.

Per elencare il criterio IAM della chiave, esegui il seguente comando:

gcloud kms keys get-iam-policy KMS_KEY_NAME

Se necessario, aggiungi alla chiave l'account di servizio contenente il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.