Risoluzione dei problemi

Questa pagina mostra come risolvere i problemi che potresti riscontrare quando utilizzi Eventarc Advanced.

Autorizzazione negata durante l'utilizzo del service agent Eventarc

Se si verifica il seguente errore durante il tentativo di creare una risorsa Eventarc Advanced, attendi qualche minuto (potenzialmente sette) e poi riprova a creare la risorsa:

Permission denied while using the Eventarc Service Agent. If you recently started to use
Eventarc, it may take a few minutes before all necessary permissions are propagated to the
Service Agent. Otherwise, verify that it has Eventarc Service Agent role.

Un service agent funge da identità di un determinato servizio Google Cloud per un progetto specifico. Per maggiori informazioni, vedi Agenti di servizio e visualizza le autorizzazioni Identity and Access Management (IAM) per il ruolo Agente di servizio Eventarc (roles/eventarc.serviceAgent).

Se continui a riscontrare l'errore precedente dopo aver tentato di creare di nuovo la risorsa, completa i seguenti passaggi per verificare che l'agente di servizio Eventarc esista nel tuo progetto Google Cloud e disponga del ruolo necessario:

  1. Nella console Google Cloud , vai alla pagina IAM.

    Vai a IAM

  2. Nella scheda Visualizza per entità, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.

  3. Nell'elenco dei principal, individua l'agente di servizio Eventarc, che utilizza il seguente formato:

    service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com

  4. Verifica che l'agente di servizio disponga del ruolo Agente di servizio Eventarc. Se l'agente di servizio non ha il ruolo, concedilo.

Errori HTTP 503 Service Unavailable

Se riscontri un errore HTTP 503 Service Unavailable per una pipeline che instrada i messaggi a una destinazione Google utilizzando un indirizzo DNS, ad esempio Cloud Run, assicurati che Private Google Access sia abilitato nella subnet utilizzata nel collegamento di rete; in caso contrario, l'indirizzo DNS non può essere risolto.

Problemi relativi a CMEK

Puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per proteggere Eventarc. Le chiavi vengono create e gestite tramite Cloud Key Management Service (Cloud KMS). La tabella seguente descrive diversi problemi relativi a CMEK e come risolverli quando utilizzi Cloud KMS con Eventarc.

Problemi che si verificano durante la creazione o l'aggiornamento delle risorse Eventarc

Problema CMEK Messaggio di errore Descrizione
Chiave disattivata $KEY is not enabled, current state is: DISABLED

La chiave Cloud KMS fornita è stata disattivata per una risorsa Eventarc. Gli eventi o i messaggi associati alla risorsa non sono più protetti.

Soluzione:

  1. Visualizza la chiave utilizzata per una risorsa:
  2. Riattiva la chiave Cloud KMS.
Quota superata Quota exceeded for limit

Hai raggiunto il limite di quota per le richieste Cloud KMS.

Soluzione:

  • Limita il numero di chiamate Cloud KMS.
  • Aumenta la quota.
Per ulteriori informazioni, vedi Monitorare e modificare le quote di Cloud KMS.
Regione non corrispondente Key region $REGION must match the resource to be protected

La regione della chiave KMS fornita è diversa da quella del canale.

Soluzione:

Utilizza una chiave Cloud KMS della stessa regione. Tieni presente che per i canali nella regione eu, devi proteggerli utilizzando una chiave Cloud KMS nella regione europe. Per maggiori informazioni, consulta Località Cloud KMS e Eventarc multiregionale.

Vincolo delle policy dell'organizzazione project/PROJECT_ID violated org policy constraint

Eventarc è integrato con i seguenti due vincoli di policy dell'organizzazione per garantire l'utilizzo di CMEK in un'organizzazione. Qualsiasi risorsa Eventarc esistente non è soggetta a un criterio impostato dopo la creazione della risorsa; tuttavia, l'aggiornamento della risorsa potrebbe non riuscire.

  • constraints/gcp.restrictNonCmekServices fa sì che tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata non vadano a buon fine.

    Soluzione:

    Specifica una chiave Cloud KMS per la risorsa Eventarc. Per ulteriori informazioni, consulta Richiedere CMEK per le nuove risorse Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects limita le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa Eventarc.

    Soluzione:

    Utilizza una chiave Cloud KMS supportata da un progetto, una cartella o un'organizzazione Eventarc consentiti. Per ulteriori informazioni, vedi Limitare le chiavi Cloud KMS per un progetto Eventarc.

Problemi che si verificano durante la pubblicazione degli eventi

Problema CMEK Messaggio di errore Descrizione
Chiave disattivata $KEY is not enabled, current state is: DISABLED

La chiave Cloud KMS fornita è stata disattivata per una risorsa Eventarc. Gli eventi o i messaggi associati alla risorsa non sono più protetti.

Soluzione:

  1. Visualizza la chiave utilizzata per una risorsa:
  2. Riattiva la chiave Cloud KMS.
Quota superata Quota exceeded for limit

Hai raggiunto il limite di quota per le richieste Cloud KMS.

Soluzione:

  • Limita il numero di chiamate Cloud KMS.
  • Aumenta la quota.
Per ulteriori informazioni, vedi Monitorare e modificare le quote di Cloud KMS.
Errore di autorizzazione Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

La chiave Cloud KMS fornita non esiste o l'autorizzazione Identity and Access Management (IAM) non è configurata correttamente.

Soluzione:

Per risolvere i problemi che potresti riscontrare quando utilizzi chiavi gestite esternamente tramite Cloud External Key Manager (Cloud EKM), consulta Messaggio di errore Cloud EKM.

Passaggi successivi