Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Resolva problemas de erros de CMEK e de predefinições

Este documento descreve como encontrar e mitigar erros comuns de configuração da CMEK e como identificar erros que ocorrem ao definir a localização de recursos predefinida.

Resolva problemas ao predefinir a localização do recurso

Tenta atualizar a localização de armazenamento predefinida de uma organização ou uma pasta, mas o comando falha com um erro semelhante ao seguinte:

ERROR: (gcloud.logging.settings.update) INVALID_ARGUMENT: The KMS key location must match the storage location. Received KMS key location: us-central1, storage location: us-west1
- '@type': type.googleapis.com/google.rpc.DebugInfo
  detail: '[ORIGINAL ERROR] generic::invalid_argument: The KMS key location must match
    the storage location. Received KMS key location: us-central1, storage location:
    us-west1 [google.rpc.error_details_ext] { message: "The KMS key location must
    match the storage location. Received KMS key location: us-central1, storage location:
    us-west1" }'

Para resolver este erro, defina a localização de armazenamento predefinida da organização ou da pasta de forma a corresponder à localização da chave do Cloud Key Management Service da organização ou da pasta.

Resolva problemas com as CMEK

À medida que configura a CMEK, o Cloud de Confiance projeto que contém a chave do Cloud KMS é notificado de problemas relacionados. Por exemplo, as atualizações falham quando o KMS_KEY_NAME é inválido, quando a conta de serviço associada não tem a função encriptar/desencriptar do CryptoKey do Cloud Key Management Service necessária ou quando o acesso à chave está desativado.

Depois de configurar a CMEK, ocorre, pelo menos, uma das seguintes situações:

Recebeu uma notificação do Cloud Logging sobre problemas de acesso à CMEK.
Repara que a CMEK não está ativada para os contentores de registos _Default e _Required quando cria novos Cloud de Confiance projetos na sua organização Cloud de Confiance ou numa pasta.
Recebe erros quando lê a partir de contentores de registos com a CMEK ativada ou se tentar criar ou atualizar contentores de registos.

A notificação fornece informações sobre a falha e contém que pode tomar para mitigar o problema:

Erro	Recomendação
Autorização da chave criptográfica recusada	A conta de serviço do Logging associada ao seu Cloud de Confiance projeto não tem autorizações da IAM suficientes para operar na chave do Cloud KMS especificada. Siga as instruções no erro ou consulte os seguintes documentos: Atribua a função de encriptador/desencriptador para contentores de registos Atribua a função Encrypter/Decrypter para organizações e pastas
A chave criptográfica está desativada	A chave do Cloud KMS especificada foi desativada. Siga as instruções no erro para reativar a chave.
A chave criptográfica foi destruída	A chave do Cloud KMS especificada foi destruída. Siga as instruções ou consulte os seguintes documentos: Faça a gestão da chave do Cloud KMS para um contentor de registos Faça a gestão da sua chave do Cloud KMS para uma pasta ou uma organização

Erro

Recomendação

Autorização da chave criptográfica recusada

A conta de serviço do Logging associada ao seu Cloud de Confiance projeto não tem autorizações da IAM suficientes para operar na chave do Cloud KMS especificada. Siga as instruções no erro ou consulte os seguintes documentos:

A chave criptográfica está desativada

A chave do Cloud KMS especificada foi desativada. Siga as instruções no erro para reativar a chave.

A chave criptográfica foi destruída

A chave do Cloud KMS especificada foi destruída. Siga as instruções ou consulte os seguintes documentos:

Identifique o projeto que contém a chave do Cloud KMS

Para identificar o ID do Cloud de Confiance projeto que contém a chave de encriptação usada por um contentor de registos, uma pasta ou uma organização, faça o seguinte:

PROJECT

gcloud logging settings describe --project=PROJECT_ID

Antes de executar o comando, substitua PROJECT_ID pelo ID do projeto que contém o contentor de registos.

FOLDER

gcloud logging settings describe --folder=FOLDER_ID

Antes de executar o comando, substitua FOLDER_ID pelo ID da pasta.

ENTIDADE

gcloud logging settings describe --organization=ORGANIZATION_ID

Antes de executar o comando, substitua ORGANIZATION_ID pelo ID da organização.

O comando anterior devolve informações semelhantes às seguintes:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com

Para organizações e pastas, também é devolvido o seguinte campo:

kmsKeyName: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY

O valor do campo kmsKeyName inclui o projeto que armazena a chave. Cloud de Confiance

Valide a usabilidade da chave

Para verificar a usabilidade da chave, execute o seguinte comando para listar todas as chaves:

gcloud kms keys list \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING

Este comando devolve informações sobre cada chave num formato tabular. A primeira linha da saída é uma lista de nomes das colunas:

NAME PURPOSE ...

Verifique se a chave do Cloud KMS está listada no resultado do comando como ENABLED e se a finalidade da chave é a encriptação simétrica: a coluna PURPOSE tem de conter ENCRYPT_DECRYPT e a coluna PRIMARY_STATE tem de conter ENABLED.

Se necessário, crie uma nova chave.

Valide a configuração das autorizações

As contas de serviço associadas às definições de CMEK da organização têm de ter a função Encriptador/desencriptador de CryptoKey do Cloud KMS para a chave configurada.

Para apresentar a política IAM da chave, execute o seguinte comando:

gcloud kms keys get-iam-policy KMS_KEY_NAME

Se necessário, adicione a conta de serviço que contém a função de encriptar/desencriptar do CryptoKey do Cloud KMS à chave.