En este documento, se describe cómo resolver fallas que podrían estar relacionadas con los buckets de observabilidad. Por ejemplo, en esta página, se describe cómo resolver problemas relacionados con la configuración de los parámetros predeterminados para los buckets de observabilidad. Puedes configurar estos parámetros predeterminados para un recurso, que puede ser una organización, una carpeta o un proyecto, y te permiten hacer lo siguiente:
- Configura una ubicación de almacenamiento predeterminada para tus buckets de observabilidad.
- Para cada ubicación en la que elijas almacenar datos, puedes configurar el uso de claves de encriptación administradas por el cliente (CMEK).
Los elementos secundarios de la jerarquía de recursos usan automáticamente estos parámetros de configuración, excepto aquellos en los que configuraste parámetros de configuración predeterminados.
No ves ningún dato de registro
Esperas ver datos en la página Explorador de Trace, pero no hay ninguno.
Los datos de seguimiento se almacenan en buckets de observabilidad llamados _Trace. Existen varios motivos por los que es posible que no veas datos de seguimiento. Para obtener información sobre cómo resolver este error, consulta No hay datos en la página Explorador de seguimiento.
Problemas relacionados con la ubicación de almacenamiento
En esta sección, se enumeran los problemas comunes relacionados con la configuración o el borrado de la ubicación de almacenamiento predeterminada, que es un campo en la configuración predeterminada de los buckets de observabilidad.
No se puede configurar la ubicación de almacenamiento predeterminada para un recurso
Intentas establecer la ubicación de almacenamiento predeterminada para un recurso, pero el comando falla:
Si intentas establecer una ubicación que no es compatible con los buckets de observabilidad, se producirá un error con el código
400 (Bad Request). El mensaje de error es similar al siguiente:Unsupported default storage location: my-regionSi se intenta establecer la ubicación en un valor que no permite una política de la organización, se produce un error con el código
400 (Bad Request). El mensaje de error es similar al siguiente:Constraint `constraints/gcp.resourceLocations` violated for `folders/12345` attempting to change `folders/12345/locations/global/settings` with location `invalid`. The location must be in the allowed location list configured by the organization policy administrator.
Para resolver estos errores, haz lo siguiente:
Asegúrate de que la ubicación que especificas en el comando sea una ubicación de bucket de observabilidad compatible.
Revisa las políticas de la organización para asegurarte de que permitan tu ubicación.
Falla un comando para borrar la ubicación de almacenamiento predeterminada
Emites un comando updateSettings a un recurso con el valor de la ubicación de almacenamiento predeterminada establecido en una cadena vacía. El comando falla con un código de error 400 (Bad Request). El mensaje de error es similar a uno de los siguientes:
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
o
The default storage location may not be removed from an organization's Settings.
Se prevé que esto suceda.
Después de establecer una ubicación de almacenamiento predeterminada para un recurso, puedes cambiar el valor, pero no puedes borrarlo ni anularlo, a menos que se especifique la ubicación de almacenamiento predeterminada para un elemento superior en la jerarquía de recursos. No puedes borrar ni anular la ubicación de almacenamiento predeterminada de una organización porque no tiene organizaciones superiores.
La ubicación de un bucket de observabilidad entra en conflicto con una política de la organización
Observas que las ubicaciones de algunos buckets de observabilidad entran en conflicto con las ubicaciones permitidas que especifica una política de la organización.
No representa un error.
Los buckets de observabilidad no respetan las políticas de la organización que restringen la ubicación.
Existen varios motivos por los que la ubicación de un bucket de observabilidad podría estar en una ubicación que no permite una política de la organización:
El bucket de observabilidad se creó antes del 1 de junio de 2026, fecha en la que comenzó la aplicación de la política de la organización que restringe la ubicación.
La política de la organización cambió después de que se creó el bucket de observabilidad.
Problemas relacionados con las CMEK
En esta sección, se enumeran los problemas comunes relacionados con el uso de CMEK.
Falla un comando para borrar la clave de Cloud KMS predeterminada
Ejecutas un comando updateSettings en un recurso y una ubicación con el valor de la clave predeterminada de Cloud KMS establecido en una cadena vacía. El comando falla con un código de error 400 (Bad Request). El mensaje de error es similar a uno de los siguientes:
The default KMS key cannot be empty because you have an organization policy that requires CMEK and because no ancestor defines a default KMS key.
o
The default KMS key cannot be empty because you have an organization policy that requires CMEK.
Se prevé que esto suceda.
Si tienes una política de la organización que requiere el uso de CMEK y estableciste una clave de Cloud KMS predeterminada para un recurso y una ubicación, no podrás quitar esa clave, a menos que un elemento superior del recurso tenga una clave predeterminada adecuada. Como las organizaciones no tienen organizaciones superiores, no puedes quitar la clave de Cloud KMS predeterminada de la configuración predeterminada de la organización.
¿Cómo puedo encontrar la clave que usa un bucket de observabilidad?
Para obtener información sobre la clave de encriptación que se usa en los buckets de observabilidad, enumera tus buckets de observabilidad.
Los datos de respuesta incluyen información sobre la clave de Cloud KMS, su versión y la cuenta de servicio que se usó para acceder a la clave.
Cómo resolver errores de configuración de claves
Después de configurar una clave predeterminada de Cloud KMS para un recurso y una ubicación, recibirás una notificación por correo electrónico de Google Cloud Observability sobre problemas de acceso o notarás errores de lectura o escritura en los buckets de Observability con CMEK habilitadas. El correo electrónico, que se envía a los contactos esenciales, contiene información como la siguiente:
- Nombre de la clave de Cloud KMS.
- Es la versión de la clave de Cloud KMS.
- Nombre de la cuenta de servicio que se usa para la encriptación y desencriptación.
- Es el código de error que observa Google Cloud Observability cuando se encriptan o desencriptan datos.
- El mensaje de error que se ve cuando se encriptan o desencriptan datos
La notificación proporciona información sobre el error y enumera las acciones que puedes realizar para mitigar el problema:
| Error | Recomendación |
|---|---|
| Se denegó el permiso para usar claves criptográficas | La cuenta de servicio del recurso no tiene los permisos de IAM suficientes para operar en la clave de Cloud KMS especificada. Para resolver este error, sigue las instrucciones que se indican en el mensaje. La siguiente información puede resultarte útil: |
| La clave criptográfica está inhabilitada | Se inhabilitó la clave de Cloud KMS especificada. Sigue las instrucciones del error para volver a habilitar la clave. La siguiente información puede resultarte útil: |
| Se destruyó la clave criptográfica | Se destruyó la clave de Cloud KMS especificada. Sigue las instrucciones o consulta Administra tu clave de Cloud KMS para un recurso. |
Falla el aprovisionamiento de un bucket de observabilidad
Eres un contacto esencial o propietario de un recurso, y recibes una notificación por correo electrónico de Google Cloud Observability sobre una falla de aprovisionamiento.
El aprovisionamiento de un bucket de observabilidad puede fallar debido a un error de configuración o a un error interno:
Cuando la provisión falla debido a un error interno, no es necesario que tomes medidas. El sistema se recupera automáticamente de estas fallas reintentando el comando de creación hasta que se complete correctamente.
Cuando el aprovisionamiento falla debido a un error de configuración, debes corregirlo. Si los datos proporcionados siguen llegando, el sistema emitirá automáticamente al menos un comando de creación de bucket de observabilidad por día. Los errores de configuración incluyen los siguientes:
- Una política de la organización no permite ninguna ubicación de bucket de observabilidad admitida.
- Una ubicación de almacenamiento predeterminada entra en conflicto con una política de la organización.
- Una política de la organización que requiere CMEK, pero no se configuró una clave predeterminada.
- No se puede usar una clave de Cloud KMS.
- A una cuenta de servicio le falta un rol obligatorio.
En el resto de esta sección, se describe cómo investigar problemas de configuración comunes.
Revisa la política de la organización que restringe las ubicaciones
Revisa las ubicaciones permitidas especificadas por una política de la organización con un ID de restricción constraints/gcp.resourceLocations.
Esta política define el conjunto de ubicaciones en las que se pueden crear recursos nuevos.
Asegúrate de que la lista de ubicaciones permitidas incluya al menos una ubicación de bucket de observabilidad compatible. El aprovisionamiento falla si la ubicación de almacenamiento predeterminada no es una ubicación permitida.
Para obtener más información, consulta Visualiza las políticas de la organización.
Revisa las ubicaciones de almacenamiento predeterminadas de tus recursos
Revisa y, si es necesario, actualiza la configuración predeterminada de los buckets de observabilidad para la organización, la carpeta o el proyecto con una ubicación de almacenamiento predeterminada.
Para obtener más información, consulta Cómo ver la configuración predeterminada de los buckets de observabilidad.
Revisa las políticas de la organización que requieren CMEK
Existen dos restricciones que rigen las CMEK. Una restricción limita las claves de Cloud KMS que se pueden usar para la encriptación. La otra restricción requiere el uso de claves de Cloud KMS.
Restringir política
Determina si configuraste una política con el ID de restricción constraints/gcp.restrictCmekCryptoKeyProjects.
Si es así, asegúrate de que las claves predeterminadas de Cloud KMS estén permitidas por la política de la organización.
Política obligatoria
Determina si configuraste una política de Deny con el ID de restricción constraints/gcp.restrictNonCmekServices.
Si es así, asegúrate de que se defina una clave de Cloud KMS predeterminada para la ubicación de almacenamiento predeterminada. Si también configuraste una política para restringir las claves que se pueden usar, asegúrate de que se permita tu clave predeterminada de Cloud KMS.
Por ejemplo, si tus políticas se aplican a nivel de la organización, asegúrate de haber configurado los parámetros de configuración predeterminados para los buckets de observabilidad de tu organización con una ubicación de almacenamiento predeterminada y, para esa ubicación, una clave predeterminada de Cloud KMS.
Google Cloud Observability no puede aprovisionar buckets de observabilidad cuando se requieren CMEK, pero no hay disponible una clave para encriptar o desencriptar esos datos.
Verifica que una clave de Cloud KMS se pueda usar
Para determinar si una clave de Cloud KMS se puede usar, ejecuta gcloud kms keys list:
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
Antes de ejecutar el comando anterior, realiza los siguientes reemplazos:
- LOCATION_ID: Es la ubicación de tu clave de Cloud KMS.
- KMS_KEY_RING: Es el nombre del llavero de claves de Cloud KMS.
El comando anterior muestra información sobre cada clave en la ubicación especificada. En el caso de tu clave de Cloud KMS, asegúrate de que se cumplan las siguientes condiciones:
- La clave de Cloud KMS aparece en la tabla.
- La columna
STATUSenumeraENABLED. - La columna
PURPOSEenumeraENCRYPT_DECRYPT. Este parámetro de configuración indica que el propósito de la clave es la encriptación simétrica:
Si es necesario, crea una clave de Cloud KMS nueva y actualiza la configuración predeterminada de los buckets de observabilidad para el recurso y la ubicación asociados.
Verifica que la cuenta de servicio tenga el rol requerido
Verifica que se haya otorgado a la cuenta de servicio del recurso el rol de Encriptador/Desencriptador de CryptoKey de Cloud KMS para la clave de Cloud KMS que se indica como parte de la configuración predeterminada de los buckets de observabilidad del recurso.
Para determinar las vinculaciones de una clave de Cloud KMS, ejecuta el siguiente comando:
gcloud kms keys get-iam-policy KMS_KEY_NAME
Si es necesario, otorga a la cuenta de servicio del recurso el rol de Encriptador/Desencriptador de CryptoKey de Cloud KMS para la clave. Para obtener más información, consulta Otorga acceso a una clave a la cuenta de servicio.