Questo documento descrive come trovare e mitigare gli errori comuni di configurazione di CMEK e come identificare gli errori che si verificano durante l'impostazione della posizione predefinita della risorsa.
Risolvere i problemi relativi all'impostazione della località della risorsa predefinita
Provi ad aggiornare la posizione di archiviazione predefinita per un'organizzazione o una cartella, ma il comando non riesce con un errore simile al seguente:
ERROR: (gcloud.logging.settings.update) INVALID_ARGUMENT: The KMS key location must match the storage location. Received KMS key location: us-central1, storage location: us-west1
- '@type': type.googleapis.com/google.rpc.DebugInfo
detail: '[ORIGINAL ERROR] generic::invalid_argument: The KMS key location must match
the storage location. Received KMS key location: us-central1, storage location:
us-west1 [google.rpc.error_details_ext] { message: "The KMS key location must
match the storage location. Received KMS key location: us-central1, storage location:
us-west1" }'
Per risolvere questo errore, imposta la posizione di archiviazione predefinita per l'organizzazione o la cartella in modo che corrisponda alla posizione della chiave Cloud Key Management Service per l'organizzazione o la cartella.
Risolvere i problemi relativi a CMEK
Durante la configurazione di CMEK, al Trusted Cloud progetto contenente la chiave Cloud KMS vengono inviati avvisi relativi ai problemi correlati. Ad esempio, gli aggiornamenti non vanno a buon fine quando KMS_KEY_NAME non è valido, quando l'account di servizio associato non dispone del ruolo obbligatorio Autore crittografia/decrittografia CryptoKey Cloud Key Management Service o quando l'accesso alla chiave è disattivato.
Dopo aver configurato CMEK, si verifica almeno una delle seguenti condizioni:
Hai ricevuto una notifica da Cloud Logging relativa a problemi di accesso a CMEK.
Noti che la crittografia lato client lato client non è attivata per i bucket di log
_Defaulte_Requiredquando crei nuovi progetti nella tua organizzazione o in una cartella. Trusted CloudRicevi errori quando leggi dai bucket di log con CMEK abilitato o se provi a creare o aggiornare i bucket di log.
La notifica fornisce informazioni sull'errore e contiene i passaggi che puoi svolgere per attenuare il problema:
| Errore | Consiglio |
|---|---|
| Autorizzazione alla chiave di crittografia negata | L'account di servizio Logging associato al tuo progetto Trusted Cloud non dispone di autorizzazioni IAM sufficienti per operare sulla chiave Cloud KMS specificata. Segui le istruzioni riportate nell'errore o consulta i seguenti documenti: |
| Chiave di crittografia disabilitata | La chiave Cloud KMS specificata è stata disattivata. Segui le istruzioni riportate nell'errore per riattivare la chiave. |
| Chiave di crittografia eliminata | La chiave Cloud KMS specificata è stata eliminata. Segui le istruzioni o consulta i seguenti documenti: |
Identifica il progetto che contiene la chiave Cloud KMS
Per identificare l'ID del Trusted Cloud progetto che contiene la chiave di crittografia utilizzata da un bucket di log, una cartella o un'organizzazione, procedi nel seguente modo:
PROGETTO
gcloud logging settings describe --project=PROJECT_ID
Prima di eseguire il comando, sostituisci PROJECT_ID con l'ID progetto che contiene il bucket dei log.
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Prima di eseguire il comando, sostituisci FOLDER_ID con l'ID della cartella.
ORGANIZZAZIONE
gcloud logging settings describe --organization=ORGANIZATION_ID
Prima di eseguire il comando, sostituisci ORGANIZATION_ID con l'ID dell'organizzazione.
Il comando precedente restituisce informazioni simili alle seguenti:
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com
Per le organizzazioni e le cartelle, viene restituito anche il seguente campo:
kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
Il valore del campo kmsKeyName include il progetto Trusted Cloud che memorizza la chiave.
Verificare l'usabilità della chiave
Per verificare l'usabilità della chiave, esegui il seguente comando per elencare tutte le chiavi:
gcloud kms keys list \ --location=KMS_KEY_LOCATION \ --keyring=KMS_KEY_RING
Questo comando restituisce informazioni su ogni chiave in un formato tabulare. La prima riga dell'output è un elenco di nomi di colonna:
NAME PURPOSE ...
Verifica che la chiave Cloud KMS sia elencata nell'output del comando come
ENABLED e che lo scopo della chiave sia la crittografia simmetrica: la
colonna PURPOSE deve contenere ENCRYPT_DECRYPT e la colonna PRIMARY_STATE
deve contenere ENABLED.
Se necessario, crea una nuova chiave.
Verifica la configurazione delle autorizzazioni
Gli account di servizio associati alle impostazioni CMEK dell'organizzazione devono avere il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per la chiave configurata.
Per elencare il criterio IAM della chiave, esegui il seguente comando:
gcloud kms keys get-iam-policy KMS_KEY_NAME
Se necessario, aggiungi alla chiave l'account di servizio contenente il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.