Warum meldet der Client invalid-key trotz frischer JSON-Datei?

Prüfen Sie zuerst die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS, dann die Uhr synchronisation und ob der Key dem Projekt der Registry-URL entspricht. Häufig liegt ein Region-Mismatch vor: Hostname europe-docker.pkg.dev muss exakt zum Artifact-Repository passen. Nach Rotation alte Schlüssel im Secret-Store hart entfernen, sonst greift ein veralteter Pfad.

Darf ich Images aus europe-west3 von einem Mac ziehen, der primär in Frankfurt gemessen wird?

Ja, wenn das Repository physisch in europe-west3 liegt, bleibt der Pfad innerhalb der EU. Messen Sie RTT und DNS-Auflösung gegen die produktiven Hostnamen. Cross-Region-Pulls in die USA oder Asien erfordern separate Whitelist-Einträge und ein dokumentiertes Datenfluss-Risiko — dieser Artikel ersetzt keine rechtsverbindliche Auftragsverarbeitungsprüfung.

OpenClaw 2026: GCP Artifact Registry FRA→europe-west3, Token-Rotation & EU-Whitelist

Platform- und Security-Teams sollen 2026 vom LeanVPS-Remote-Mac in Deutschland aus Container-Artefakte in GCP Artifact Registry (europe-west3) beziehen, ohne dass OpenClaw, Netz-Ausgang und Audit-Logs drei getrennte Tickets bleiben. Diese Seite führt RTT-Schwellen, eine Domain-Whitelist, Redaktionsfelder, Installations- und Tunnelstrategie sowie eine Schlüsselrotations-Checkliste zusammen — betrieblich reproduzierbar, keine Rechtsberatung.

Ausgangspunkt ist ein physischer Mac mini M4 mit SSH-Zugang am Frankfurter Standort. Für generische Log-Redaktion und EU-Egress mit OpenClaw siehe diesen Leitfaden; zur Trennung Admin- versus Laufzeitkonto diesen Artikel. Übersicht zu weiteren Cloud-Pfaden bietet AWS eu-central-1 mit OpenClaw. Anwenderfragen klärt die Hilfe.

4–9 ms

TLS-p95 DE-Mac → oauth2.googleapis.com (Messfenster 09–18 MEZ)

6–14 ms

TLS-p95 → europe-docker.pkg.dev (europe-west3)

≤ 90 s

Zielzeit für Read-only-Key-Rotation inkl. Pull-Smoketest

1. Schlüsselchaos — mehrere JSON-Keys im Home-Verzeichnis; Rotation bricht CI, weil GOOGLE_APPLICATION_CREDENTIALS nicht atomar umgestellt wird.
2. Zu breite Egress-Profile — generische HTTPS-Freigabe maskiert Lecks zu Drittanbietern; Forensik findet später keine belastbare Ursache.
3. Doctor ignoriert — Konfigänderungen landen ohne Merge-Gate; Compliance-Patrol und Laufzeitstatus divergieren.

Entscheidungsmatrix: Frankfurt-Messpunkt, europe-west3-Registry, Logs

Die folgende Matrix dient als Abnahmevorlage für Architekturboards: jede Spalte erhält Messmethode, Owner und Eskalationspfad. Werte sind interne Ampeln aus TLS-lastigen Probes, keine Garantie einzelner Carrier. Ergänzend sollten Sie Traceroute-Archive mindestens fünf Werktage vorhalten, damit Eskalationen gegenüber dem Carrier belastbar bleiben.

Kriterium	RTT-Korridor (DE-Mac → Ziel)	EU-Ausgangs-Whitelist (Host/Suffix)	Log-Redaktion (Pflichtfelder)	Ampel
OAuth-Token-Kante	oauth2.googleapis.com · 4–9 ms p95	`oauth2.googleapis.com`, `*.googleapis.com` nur wenn STS explizit nötig	Kein vollständiges access_token, nur Präfix plus Länge	grün
Artifact Pull (ew3)	`europe-docker.pkg.dev` · 6–14 ms p95	`europe-docker.pkg.dev`, optional `*.gcr.io` nur bei Legacy-Mirror	Repository-URL ohne Query-Parameter, Digest statt Tag wenn möglich	grün
Cross-Region-Spillover	US- oder Asia-Hostnamen > 35 ms p95	Zusatzhosts nur nach CAB-Freigabe	Zusätzlich Geo-Hinweis im Log-Index	rot bis geklärt

GCP-Endpunkte und Stabilitätskennzahlen (Kurzreferenz)

Ergänzend zur Matrix fasst diese Tabelle technische Mindestparameter für Tickettexte zusammen — präzise Formulierungen reduzieren Rückfragen in deutschsprachigen Enterprise-Queues.

Endpunkt	Funktion	TLS-Mindestversion	Retry-Policy	Hinweis Residency
`oauth2.googleapis.com`	Access-Token für Artifact	1.2, bevorzugt 1.3	Exponentielles Backoff max. 5 Versuche	EU-Projekt, Messung trotzdem aus DE
`europe-docker.pkg.dev`	Image/Paket-Pull	1.2	429/5xx mit Jitter	Region europe-west3 im Hostnamen erzwingen
`cloudresourcemanager.googleapis.com`	IAM-Readbacks	1.2	max. 3 Versuche	Nur bei Rollenvalidierung temporär freischalten

Log-Redaktion: Feldmapping für Artifact- und OAuth-Pfade

Diese dritte Tabelle ergänzt die Matrix-Spalte «Log-Redaktion» um konkrete Feldnamen, die deutsche Security-Reviews 2026 typischerweise abfragen. Sie dient als Copy-Paste-Vorlage für SIEM-Pipelines und ersetzt keine datenschutzrechtliche Bewertung.

Quelle	Rohfeld	Redaktionsregel	Retention Dev	Freigabe Pflicht
docker-credential-gcr	access_token, refresh_token	Hash plus Länge, kein Klartext	Metrik 30 Tage	immer
OpenClaw doctor stdout	Pfad zu JSON-Key	Basename only, kein Home-Pfad	14 Tage aggregiert	bei externem SIEM
HTTP-Trace Pull	Authorization-Header	Entfernen oder Bearer-Präfix nur	Roh 72 Stunden	ja in Prod

Sicherheitsdisziplin: Kombinieren Sie Non-Loopback-Binds für sensible Listener mit dokumentiertem SSH LocalForward nur dann, wenn ein Agent zwingend localhost spricht. Beides gehört in dasselbe Runbook-Kapitel, sonst entstehen zwei widersprüchliche Wahrheiten für Auditorien.

Sieben Schritte: Installation, Tunnel/Loopback, Rotation, Patrol

OpenClaw installieren: Release-Channel fixieren, Dienstbenutzer ohne Adminrechte, Basiskonfiguration mit openclaw doctor --non-interactive grün verifizieren und stdout archivieren.
Non-Loopback erzwingen: Listener nur auf interne Schnittstelle oder Unix-Socket; Default-Deny in der lokalen Firewall spiegeln, Ausnahmen per Git-Commit dokumentieren.
Alternative SSH-Tunnel: ssh -L 127.0.0.1:18080:oauth2.googleapis.com:443 jump@bastion nur mit festem ControlPath und Healthcheck; Tunnelabbruch löst Alarm aus, kein stilles Retry.
Read-only-IAM: Rolle Artifact Registry Reader binden, keine Owner-Rechte; Projekt-ID und Repository-URL in einem zentralen Secret-Store versionieren.
Rotations-Runbook: zweiten JSON-Key erzeugen, parallel einlegen, docker pull oder crane manifest gegen europe-west3 testen, alten Key hart löschen, Timestamp im Change-Log.
Whitelist mergen: YAML- oder Firewall-Segment mit Matrix-Spalte drei abgleichen; Abweichungen blockieren Merge bis Netz-Owner bestätigt.
Compliance-Patrol: täglicher Cron mit doctor-Ausgabe plus Diff zur Golden Config; bei Abweichung Eskalationsstufe laut interner Matrix, Rollback-Skript bereithalten.

Übernehmbare Faktenzeilen für Tickets

K1 — Dokumentieren Sie Toolversion, Messfenster UTC+1 und Hostname als Tripel; sonst sind RTT-Regressionen nicht beweisbar.
K2 — Redaktion aktiv: Tokenfelder kürzen, Roh-JSON der Credentials niemals in CI-Logs; Aufbewahrung siehe Matrix-Spalte vier.
K3 — Rotation unter neunzig Sekunden ist realistisch, wenn Smoketest und Secret-Switch in einem Skript gekoppelt sind und kein interaktiver Prompt bleibt.

Kurz-FAQ (invalid-key · Cross-Region)

invalid-key — Prüfen Sie Pfad der JSON-Datei, Projektbindung und abgelaufene zweite Kopie im Cache; siehe auch strukturierte JSON-LD-Antworten.
Cross-Region-Pull — Wenn Images physisch außerhalb EU liegen, erweitern Sie Whitelist und Datenschutz-Folgenabschätzung gemeinsam; technischer Erfolg ohne Dokumentation reicht Auditorien nicht.
Doctor rot — Zuerst Konfigvalidierung, dann Netz; tauschen Sie nicht beides gleichzeitig, sonst verwässert die Post-Mortem-Analyse.

Hinweis: Messwerte sind interne Richtwerte. Vertragliche Auftragsverarbeitung und GCP-Residency bleiben Aufgabe des Verantwortlichen. Für Registry-Routing DACH siehe ergänzend Dublin/London-Registry-Matrix.

LeanVPS · Bare-Metal Mac in Deutschland

Frankfurt-Mac für OpenClaw und GCP-Pulls mieten

Buchen Sie einen dedicated Mac mini M4 am deutschen Knoten, messen Sie RTT nach europe-west3 und härten Sie Egress mit demselben Runbook. Listpreise auf der Preisseite, Details im Deutschland-Kaufprozess.

Deutschland-Paket wählen Tarife ansehen

2026 OpenClaw auf LeanVPS Deutschland-Mac GCP Artifact Registry (europe-west3): Read-only-Rotation, EU-Ausgangs-Whitelist und doctor-Patrol in einem Runbook