Questo documento descrive come trovare e mitigare gli errori di configurazione CMEK più comuni. Descrive anche come identificare gli errori che si verificano durante la configurazione delle impostazioni delle risorse predefinite per Cloud Logging. Queste impostazioni possono essere configurate per organizzazioni e cartelle.
Risolvere i problemi relativi all'impostazione della località per i nuovi bucket di log creati dal sistema
Per un'organizzazione o una cartella, tenti di aggiornare le impostazioni delle risorse predefinite per Cloud Logging. L'aggiornamento consiste nell'impostare o modificare l'impostazione della località. Tuttavia, il comando non riesce e restituisce un errore simile al seguente:
ERROR: (gcloud.logging.settings.update) INVALID_ARGUMENT: The KMS key location must match the storage location. Received KMS key location: us-central1, storage location: us-west1
- '@type': type.googleapis.com/google.rpc.DebugInfo
detail: '[ORIGINAL ERROR] generic::invalid_argument: The KMS key location must match
the storage location. Received KMS key location: us-central1, storage location:
us-west1 [google.rpc.error_details_ext] { message: "The KMS key location must
match the storage location. Received KMS key location: us-central1, storage location:
us-west1" }'
Per risolvere questo errore, imposta la località nelle impostazioni delle risorse predefinite in modo che corrisponda alla località della chiave Cloud Key Management Service.
Risolvere i problemi relativi a CMEK
Quando configuri CMEK, il Cloud de Confiance progetto contenente la chiave Cloud KMS viene informato dei problemi correlati. Ad esempio, gli aggiornamenti non riescono quando KMS_KEY_NAME non è valido, quando il account di servizio associato non ha il ruolo Cloud Key Management Service CryptoKey Encrypter/Decrypter richiesto, o quando l'accesso alla chiave è disabilitato.
Dopo aver configurato CMEK, si verifica almeno una delle seguenti condizioni:
Hai ricevuto una notifica da Cloud Logging relativa a problemi di accesso CMEK.
Noti che CMEK non è abilitata per i
_Defaulte_Requiredbucket di log quando crei nuovi Cloud de Confiance progetti nella tua organizzazione o in una cartella.Ricevi errori quando leggi dai bucket di log con CMEK abilitata o se tenti di creare o aggiornare i bucket di log.
La notifica fornisce informazioni sull'errore e contiene le azioni che puoi intraprendere per mitigare il problema:
| Errore | Suggerimento |
|---|---|
| Autorizzazione alla chiave di crittografia negata | Il account di servizio Logging associato al tuo Cloud de Confiance progetto non dispone delle autorizzazioni IAM sufficienti per operare sulla chiave Cloud KMS specificata. Segui le istruzioni riportate nell'errore o consulta i seguenti documenti: |
| Chiave di crittografia disabilitata | La chiave Cloud KMS specificata è stata disabilitata. Segui le istruzioni riportate nell'errore per riabilitare la chiave. |
| Chiave di crittografia eliminata | La chiave Cloud KMS specificata è stata eliminata. Segui le istruzioni o consulta i seguenti documenti: |
Identificare il progetto che contiene la chiave Cloud KMS
Per identificare l'ID del Cloud de Confiance progetto che contiene la chiave di crittografia utilizzata da un bucket di log, una cartella o un'organizzazione:
PROGETTO
gcloud logging settings describe --project=PROJECT_ID
Prima di eseguire il comando, sostituisci PROJECT_ID con l'ID progetto che contiene il bucket di log.
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Prima di eseguire il comando, sostituisci FOLDER_ID con l'ID di the cartella.
ORGANIZZAZIONE
gcloud logging settings describe --organization=ORGANIZATION_ID
Prima di eseguire il comando, sostituisci ORGANIZATION_ID con l'ID dell' organizzazione.
Il comando precedente restituisce informazioni simili alle seguenti:
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com
Per le organizzazioni e le cartelle, viene restituito anche il seguente campo:
kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
Il valore del campo kmsKeyName include il Cloud de Confiance progetto che archivia
la chiave.
Verificare l'usabilità della chiave
Per verificare l'usabilità della chiave, esegui il seguente comando per elencare tutte le chiavi:
gcloud kms keys list \ --location=KMS_KEY_LOCATION \ --keyring=KMS_KEY_RING
Questo comando restituisce informazioni su ogni chiave in formato tabulare. La prima riga dell'output è un elenco di nomi di colonne:
NAME PURPOSE ...
Verifica che la chiave Cloud KMS sia elencata nell'output del comando come ENABLED e che lo scopo della chiave sia la crittografia simmetrica: la colonna PURPOSE deve contenere ENCRYPT_DECRYPT e la colonna PRIMARY_STATE deve contenere ENABLED.
Se necessario, crea una nuova chiave.
Verificare la configurazione delle autorizzazioni
I service account associati alle impostazioni CMEK dell'organizzazione devono avere il ruolo Cloud KMS CryptoKey Encrypter/Decrypter per la chiave configurata.
Per elencare la policy IAM della chiave, esegui il seguente comando:
gcloud kms keys get-iam-policy KMS_KEY_NAME
Se necessario, aggiungi alla chiave il account di servizio che contiene il ruolo Cloud KMS CryptoKey Encrypter/Decrypter.