Memecahkan masalah CMEK

Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk melindungi Eventarc. Kunci dibuat dan dikelola melalui Cloud Key Management Service (Cloud KMS). Tabel berikut menjelaskan berbagai masalah CMEK dan cara menyelesaikannya saat menggunakan Cloud KMS dengan Eventarc.

Masalah yang terjadi saat membuat atau memperbarui resource Eventarc

Masalah CMEK Pesan error Deskripsi
Kunci dinonaktifkan $KEY is not enabled, current state is: DISABLED

Kunci Cloud KMS yang diberikan telah dinonaktifkan untuk resource Eventarc. Peristiwa atau pesan yang terkait dengan resource tidak lagi dilindungi.

Solusi:

  1. Menampilkan kunci yang digunakan untuk saluran.
  2. Mengaktifkan kembali kunci Cloud KMS.
Kuota terlampaui Quota exceeded for limit

Batas kuota Anda untuk permintaan Cloud KMS telah tercapai.

Solusi:

  • Batasi jumlah panggilan Cloud KMS.
  • Tingkatkan kuota.
Untuk mengetahui informasi selengkapnya, lihat Memantau dan menyesuaikan kuota Cloud KMS.
Wilayah tidak cocok Key region $REGION must match the resource to be protected

Wilayah kunci KMS yang diberikan berbeda dengan wilayah saluran.

Solusi:

Gunakan kunci Cloud KMS dari wilayah yang sama. Perhatikan bahwa untuk saluran di multi-region eu, Anda harus melindunginya menggunakan kunci Cloud KMS di multi-region europe. Untuk mengetahui informasi selengkapnya, lihat Lokasi Cloud KMS dan Lokasi multi-region Eventarc.

Batasan kebijakan organisasi project/PROJECT_ID violated org policy constraint

Eventarc terintegrasi dengan dua batasan kebijakan organisasi berikut untuk membantu memastikan penggunaan CMEK di seluruh organisasi. Resource Eventarc yang ada tidak tunduk pada kebijakan yang ditetapkan setelah resource dibuat; namun, memperbarui resource mungkin akan gagal.

  • constraints/gcp.restrictNonCmekServices menyebabkan semua permintaan pembuatan resource tanpa kunci Cloud KMS yang ditentukan gagal.

    Solusi:

    Tentukan kunci Cloud KMS untuk resource Eventarc. Untuk mengetahui informasi selengkapnya, lihat Mewajibkan CMEK untuk resource Eventarc baru.

  • constraints/gcp.restrictCmekCryptoKeyProjects membatasi kunci Cloud KMS yang dapat Anda gunakan untuk melindungi resource Eventarc.

    Solusi:

    Gunakan kunci Cloud KMS yang didukung untuk project Eventarc. Untuk mengetahui informasi selengkapnya, lihat Membatasi kunci Cloud KMS untuk project Eventarc.

Masalah yang terjadi selama pengiriman peristiwa

Masalah CMEK Pesan error Deskripsi
Kunci dinonaktifkan $KEY is not enabled, current state is: DISABLED

Kunci Cloud KMS yang diberikan telah dinonaktifkan untuk resource Eventarc. Peristiwa atau pesan yang terkait dengan resource tidak lagi dilindungi.

Solusi:

  1. Menampilkan kunci yang digunakan untuk saluran.
  2. Mengaktifkan kembali kunci Cloud KMS.
Kuota terlampaui Quota exceeded for limit

Batas kuota Anda untuk permintaan Cloud KMS telah tercapai.

Solusi:

  • Batasi jumlah panggilan Cloud KMS.
  • Tingkatkan kuota.
Untuk mengetahui informasi selengkapnya, lihat Memantau dan menyesuaikan kuota Cloud KMS.
Error izin Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

Kunci Cloud KMS yang diberikan tidak ada atau izin Identity and Access Management (IAM) tidak dikonfigurasi dengan benar.

Solusi:

Untuk mengatasi masalah yang mungkin Anda temui saat menggunakan kunci yang dikelola secara eksternal melalui Cloud External Key Manager (Cloud EKM), lihat Referensi error Cloud EKM.

Langkah berikutnya