Resolver problemas

Esta página mostra como resolver problemas que pode encontrar quando usa o Eventarc Advanced.

Autorização recusada durante a utilização do agente de serviço do Eventarc

Se encontrar o seguinte erro ao tentar criar um recurso avançado do Eventarc, aguarde alguns minutos (potencialmente, sete) e, em seguida, tente criar o recurso novamente:

Permission denied while using the Eventarc Service Agent. If you recently started to use
Eventarc, it may take a few minutes before all necessary permissions are propagated to the
Service Agent. Otherwise, verify that it has Eventarc Service Agent role.

Um agente de serviço funciona como a identidade de um determinado serviço para um projeto específico. Google Cloud Para mais informações, consulte os agentes de serviço e veja as autorizações de gestão de identidade e de acesso (IAM) para a função de agente de serviço do Eventarc (roles/eventarc.serviceAgent).

Se continuar a receber o erro anterior depois de tentar criar novamente o recurso, conclua os seguintes passos para verificar se o agente do serviço Eventarc existe no seu Google Cloud projeto e tem a função necessária:

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda ao IAM

  2. No separador Vista por responsáveis, selecione a caixa de verificação Incluir concessões de funções fornecidas pela Google.

  3. Na lista de responsáveis, localize o agente de serviço do Eventarc, que usa o seguinte formato:

    service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com

  4. Verifique se o agente do serviço tem a função Agente do serviço Eventarc. Se o agente do serviço não tiver a função, então conceda a função.

Erros de HTTP 503 Service Unavailable

Se encontrar um erro HTTP 503 Service Unavailable para um pipeline que encaminha mensagens para um destino Google através de um endereço DNS, por exemplo, o Cloud Run, certifique-se de que o acesso privado à Google está ativado na sub-rede usada na associação de rede. Caso contrário, não é possível resolver o endereço DNS.

Problemas de CMEK

Pode usar chaves de encriptação geridas pelo cliente (CMEK) para proteger o Eventarc. As chaves são criadas e geridas através do Cloud Key Management Service (Cloud KMS). A tabela seguinte descreve diferentes problemas de CMEK e como resolvê-los quando usa o Cloud KMS com o Eventarc.

Problemas que ocorrem ao criar ou atualizar recursos do Eventarc

Problema de CMEK Mensagem de erro Descrição
Chave desativada $KEY is not enabled, current state is: DISABLED

A chave do Cloud KMS fornecida foi desativada para um recurso do Eventarc. Os eventos ou as mensagens associados ao recurso deixam de estar protegidos.

Solução:

  1. Apresente a chave usada para um recurso:
  2. Reative a chave do Cloud KMS.
Quota excedida Quota exceeded for limit

Atingiu o limite da quota de pedidos do Cloud KMS.

Solução:

  • Limite o número de chamadas do Cloud KMS.
  • Aumente a quota.
Para mais informações, consulte o artigo Monitorize e ajuste as quotas do Cloud KMS.
Região sem correspondência Key region $REGION must match the resource to be protected

A região da chave do KMS fornecida é diferente da região do canal.

Solução:

Use uma chave do Cloud KMS da mesma região. Tenha em atenção que, para canais em várias regiões eu, deve protegê-los com uma chave do Cloud KMS em várias regiões europe. Para mais informações, consulte Localizações do Cloud KMS e localizações multirregionais do Eventarc.

Restrição da política da organização project/PROJECT_ID violated org policy constraint

O Eventarc está integrado com as seguintes duas restrições da política da organização para ajudar a garantir a utilização das CMEK numa organização. Qualquer recurso do Eventarc existente não está sujeito a uma política definida após a criação do recurso. No entanto, a atualização do recurso pode falhar.

  • constraints/gcp.restrictNonCmekServices faz com que todos os pedidos de criação de recursos sem uma chave do Cloud KMS especificada falhem.

    Solução:

    Especifique uma chave do Cloud KMS para o recurso Eventarc. Para mais informações, consulte o artigo Exija CMEKs para novos recursos do Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects restringe as chaves do Cloud KMS que pode usar para proteger um recurso do Eventarc.

    Solução:

    Use uma chave do Cloud KMS suportada de um projeto, uma pasta ou uma organização do Eventarc permitidos. Para mais informações, consulte o artigo Restrinja as chaves do Cloud KMS para um projeto do Eventarc.

Problemas que ocorrem durante o envio de eventos

Problema de CMEK Mensagem de erro Descrição
Chave desativada $KEY is not enabled, current state is: DISABLED

A chave do Cloud KMS fornecida foi desativada para um recurso do Eventarc. Os eventos ou as mensagens associados ao recurso deixam de estar protegidos.

Solução:

  1. Apresente a chave usada para um recurso:
  2. Reative a chave do Cloud KMS.
Quota excedida Quota exceeded for limit

Atingiu o limite da quota de pedidos do Cloud KMS.

Solução:

  • Limite o número de chamadas do Cloud KMS.
  • Aumente a quota.
Para mais informações, consulte o artigo Monitorize e ajuste as quotas do Cloud KMS.
Erro de autorização Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

A chave do Cloud KMS fornecida não existe ou a autorização de gestão de identidade e de acesso (IAM) não está configurada corretamente.

Solução:

Para resolver problemas que possa encontrar ao usar chaves geridas externamente através do Cloud External Key Manager (Cloud EKM), consulte a referência de erros do Cloud EKM.

O que se segue?