Soluciona problemas

En esta página, se muestra cómo resolver problemas que podrías encontrar cuando uses Eventarc Advanced.

Se denegó el permiso mientras se usaba el agente de servicio de Eventarc

Si encuentras el siguiente error mientras intentas crear un recurso avanzado de Eventarc, espera unos minutos (posiblemente, siete) y, luego, intenta crear el recurso de nuevo:

Permission denied while using the Eventarc Service Agent. If you recently started to use
Eventarc, it may take a few minutes before all necessary permissions are propagated to the
Service Agent. Otherwise, verify that it has Eventarc Service Agent role.

Un agente de servicio actúa como la identidad de un servicio de Google Cloud determinado para un proyecto en particular. Para obtener más información, consulta Agentes de servicio y los permisos de Identity and Access Management (IAM) para el rol de agente de servicio de Eventarc (roles/eventarc.serviceAgent).

Si sigues teniendo el error anterior después de intentar crear tu recurso de nuevo, completa los siguientes pasos para verificar que el agente de servicio de Eventarc exista en tu proyecto Google Cloud y tenga el rol necesario:

  1. En la consola de Google Cloud , ve a la página IAM.

    Ir a IAM

  2. En la pestaña Ver por principales, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.

  3. En la lista de principales, busca el agente de servicio de Eventarc, que usa el siguiente formato:

    service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com

  4. Verifica que el agente de servicio tenga el rol de Agente de servicio de Eventarc. Si el agente de servicio no tiene el rol, otorga el rol.

Errores de HTTP 503 Service Unavailable

Si encuentras un error HTTP 503 Service Unavailable para una canalización que enruta mensajes a un destino de Google con una dirección DNS (por ejemplo, Cloud Run), asegúrate de que el Acceso privado a Google esté habilitado en la subred que se usa en el adjunto de red; de lo contrario, no se podrá resolver la dirección DNS.

Problemas con la CMEK

Puedes usar claves de encriptación administradas por el cliente (CMEK) para proteger Eventarc. Las claves se crean y administran a través de Cloud Key Management Service (Cloud KMS). En la siguiente tabla, se describen diferentes problemas relacionados con la CMEK y cómo resolverlos cuando se usa Cloud KMS con Eventarc.

Problemas que ocurren cuando se crean o actualizan recursos de Eventarc

Problema con la CMEK Mensaje de error Descripción
Clave inhabilitada $KEY is not enabled, current state is: DISABLED

Se inhabilitó la clave de Cloud KMS proporcionada para un recurso de Eventarc. Los eventos o mensajes asociados con el recurso ya no están protegidos.

Solution:

  1. Muestra la clave que se usa para un recurso:
  2. Vuelve a habilitar la clave de Cloud KMS.
Se superó la cuota Quota exceeded for limit

Se alcanzó el límite de cuota para las solicitudes de Cloud KMS.

Solution:

  • Limita la cantidad de llamadas a Cloud KMS.
  • Aumenta la cuota.
Para obtener más información, consulta Supervisa y ajusta las cuotas de Cloud KMS.
La región no coincide Key region $REGION must match the resource to be protected

La región de la clave de KMS que se proporciona es diferente de la región del canal.

Solution:

Usa una clave de Cloud KMS de la misma región. Ten en cuenta que, en el caso de los canales en la multirregión eu, debes protegerlos con una clave de Cloud KMS en la multirregión europe. Para obtener más información, consulta las ubicaciones de Cloud KMS y las ubicaciones multirregionales de Eventarc.

Restricción de las políticas de la organización project/PROJECT_ID violated org policy constraint

Eventarc se integra con las siguientes dos restricciones de políticas de la organización para ayudar a garantizar el uso de CMEK en una organización. Ningún recurso de Eventarc existente está sujeto a una política que se establece después de que se crea el recurso. Sin embargo, es posible que falle la actualización del recurso.

  • constraints/gcp.restrictNonCmekServices hace que fallen todas las solicitudes de creación de recursos sin una clave de Cloud KMS especificada.

    Solution:

    Especifica una clave de Cloud KMS para el recurso de Eventarc. Para obtener más información, consulta Cómo solicitar CMEK para los recursos nuevos de Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects restringe las claves de Cloud KMS que puedes usar para proteger un recurso de Eventarc.

    Solution:

    Usa una clave de Cloud KMS compatible de un proyecto, una carpeta o una organización de Eventarc permitidos. Para obtener más información, consulta Restringe las claves de Cloud KMS para un proyecto de Eventarc.

Problemas que ocurren durante la entrega de eventos

Problema con la CMEK Mensaje de error Descripción
Clave inhabilitada $KEY is not enabled, current state is: DISABLED

Se inhabilitó la clave de Cloud KMS proporcionada para un recurso de Eventarc. Los eventos o mensajes asociados con el recurso ya no están protegidos.

Solution:

  1. Muestra la clave que se usa para un recurso:
  2. Vuelve a habilitar la clave de Cloud KMS.
Se superó la cuota Quota exceeded for limit

Se alcanzó el límite de cuota para las solicitudes de Cloud KMS.

Solution:

  • Limita la cantidad de llamadas a Cloud KMS.
  • Aumenta la cuota.
Para obtener más información, consulta Supervisa y ajusta las cuotas de Cloud KMS.
Error de permiso Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

Es posible que la clave de Cloud KMS proporcionada no exista o que el permiso de Identity and Access Management (IAM) no esté configurado de forma correcta.

Solution:

Para resolver problemas que puedas encontrar cuando uses claves administradas de forma externa a través de Cloud External Key Manager (Cloud EKM), consulta la referencia de errores de Cloud EKM.

¿Qué sigue?