問題のトラブルシューティング

このページでは、Eventarc Advanced の使用時に発生する可能性のある問題を解決する方法について説明します。

Eventarc サービス エージェントの使用中に権限が拒否されました

Eventarc Advanced リソースの作成中に次のエラーが発生した場合は、数分(場合によっては 7 分)待ってからリソースを再度作成してください。

Permission denied while using the Eventarc Service Agent. If you recently started to use
Eventarc, it may take a few minutes before all necessary permissions are propagated to the
Service Agent. Otherwise, verify that it has Eventarc Service Agent role.

サービス エージェントは、特定のプロジェクトの特定の Google Cloud サービスの ID として機能します。詳細については、サービス エージェントで、Eventarc サービス エージェントのロールroles/eventarc.serviceAgent)の Identity and Access Management(IAM)権限をご覧ください。

リソースの作成を再度試行しても、前のエラーが引き続き発生する場合は、次の手順で、Eventarc サービス エージェントが Google Cloud プロジェクトに存在し、必要なロールが付与されていることを確認します。

  1. Google Cloud コンソールで、[IAM] ページに移動します。

    [IAM] に移動

  2. [プリンシパル別に表示] タブで、[Google 提供のロール付与を含める] チェックボックスをオンにします。

  3. プリンシパルのリストで、次の形式の Eventarc サービス エージェントを見つけます。

    service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com

  4. サービス エージェントに Eventarc サービス エージェントのロールが付与されていることを確認します。サービス エージェントにロールがない場合は、ロールを付与します。

HTTP 503 Service Unavailable エラー

DNS アドレス(Cloud Run など)を使用してメッセージを Google の宛先に転送するパイプラインで HTTP 503 Service Unavailable エラーが発生した場合は、ネットワーク アタッチメントで使用されるサブネットで限定公開の Google アクセスが有効になっていることを確認してください。有効になっていないと、DNS アドレスを解決できません。

CMEK の問題

顧客管理の暗号鍵(CMEK)を使用して、Eventarc を保護できます。鍵は Cloud Key Management Service(Cloud KMS)で作成され、管理されます。次の表に、Cloud KMS と Eventarc を使用する際のさまざまな CMEK の問題とその解決方法を示します。

Eventarc リソースの作成または更新時に発生する問題

CMEK の問題 エラー メッセージ 説明
無効なキー $KEY is not enabled, current state is: DISABLED

指定された Cloud KMS 鍵が Eventarc リソースで無効になっています。リソースに関連付けられたイベントやメッセージは保護されなくなります。

解決策:

  1. リソースに使用されている鍵を表示します。
  2. Cloud KMS 鍵を再度有効にします
割り当て超過 Quota exceeded for limit

Cloud KMS リクエストの割り当て上限に達しました。

解決策:

  • Cloud KMS の呼び出し数を制限します。
  • 割り当てを増やします。
詳細については、Cloud KMS の割り当てのモニタリングと調整をご覧ください。
リージョンが一致しない Key region $REGION must match the resource to be protected

指定された KMS 鍵のリージョンがチャネルのリージョンと異なります。

解決策:

同じリージョンの Cloud KMS 鍵を使用します。マルチリージョン eu のチャネルの場合は、マルチリージョン europe の Cloud KMS 鍵を使用して保護する必要があります。詳細については、Cloud KMS のロケーションEventarc マルチリージョンのロケーションをご覧ください。
組織のポリシーの制約 project/PROJECT_ID violated org policy constraint

Eventarc は、組織全体で CMEK が使用されるように、次の 2 つの組織のポリシーの制約と統合されています。既存の Eventarc リソースは、リソースの作成後に設定されたポリシーの対象になりませんが、リソースの更新が失敗する可能性があります。

  • constraints/gcp.restrictNonCmekServices を設定すると、指定された Cloud KMS 鍵を持たないすべてのリソース作成リクエストは失敗します。

    解決策:

    Eventarc リソースの Cloud KMS 鍵を指定します。詳細については、新しい Eventarc リソースに CMEK を要求するをご覧ください。

  • constraints/gcp.restrictCmekCryptoKeyProjects は、Eventarc リソースの保護に使用できる Cloud KMS 鍵を制限します。

    解決策:

    許可されている Eventarc プロジェクト、フォルダ、組織のサポートされている Cloud KMS 鍵を使用します。詳細については、Eventarc プロジェクトの Cloud KMS 鍵を制限するをご覧ください。

イベント配信中に発生する問題

CMEK の問題 エラー メッセージ 説明
無効なキー $KEY is not enabled, current state is: DISABLED

指定された Cloud KMS 鍵が Eventarc リソースで無効になっています。リソースに関連付けられたイベントやメッセージは保護されなくなります。

解決策:

  1. リソースに使用されている鍵を表示します。
  2. Cloud KMS 鍵を再度有効にします
割り当て超過 Quota exceeded for limit

Cloud KMS リクエストの割り当て上限に達しました。

解決策:

  • Cloud KMS の呼び出し数を制限します。
  • 割り当てを増やします。
詳細については、Cloud KMS の割り当てのモニタリングと調整をご覧ください。
権限エラー Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

指定された Cloud KMS 鍵が存在しないか、Identity and Access Management(IAM)の権限が適切に構成されていません。

解決策:

Cloud External Key Manager(Cloud EKM)を介して外部管理鍵を使用する場合に発生する可能性のある問題を解決するには、Cloud EKM エラー リファレンスをご覧ください。

次のステップ