Ce document explique comment résoudre les échecs pouvant être liés aux buckets d'observabilité. Par exemple, cette page explique comment résoudre les problèmes liés à la configuration des paramètres par défaut pour les buckets d'observabilité. Vous configurez ces paramètres par défaut pour une ressource (organisation, dossier ou projet, par exemple). Ils vous permettent de :
- Configurez un emplacement de stockage par défaut pour vos buckets d'observabilité.
- Pour chaque emplacement où vous choisissez de stocker des données, vous pouvez configurer l'utilisation de clés de chiffrement gérées par le client (CMEK).
Les descendants de la hiérarchie des ressources utilisent automatiquement ces paramètres, à l'exception de ceux pour lesquels vous avez configuré des paramètres par défaut.
Aucune donnée de trace ne s'affiche
Vous vous attendez à voir des données sur la page Explorateur Trace, mais il n'y en a aucune.
Les données de trace sont stockées dans des buckets d'observabilité nommés _Trace. Plusieurs raisons peuvent expliquer pourquoi vous ne voyez pas de données de trace. Pour savoir comment résoudre cet échec, consultez Aucune donnée sur la page Explorateur de trace.
Problèmes liés au lieu de stockage
Cette section répertorie les problèmes courants liés à la définition ou à la suppression de l'emplacement de stockage par défaut, qui est un champ des paramètres par défaut des buckets d'observabilité.
Échec de la définition de l'emplacement de stockage par défaut pour une ressource
Vous essayez de définir l'emplacement de stockage par défaut pour une ressource, mais la commande échoue :
Toute tentative de définition d'un emplacement non compatible avec les buckets d'observabilité échoue avec le code d'erreur
400 (Bad Request). Le message d'échec ressemble à ce qui suit :Unsupported default storage location: my-regionToute tentative de définition de l'emplacement sur une valeur non autorisée par une règle d'administration échoue avec le code d'erreur
400 (Bad Request). Le message d'échec ressemble à ce qui suit :Constraint `constraints/gcp.resourceLocations` violated for `folders/12345` attempting to change `folders/12345/locations/global/settings` with location `invalid`. The location must be in the allowed location list configured by the organization policy administrator.
Pour résoudre ces échecs, procédez comme suit :
Assurez-vous que l'emplacement que vous spécifiez dans la commande est un emplacement de bucket d'observabilité compatible.
Consultez les règles de votre organisation pour vous assurer qu'elles autorisent votre position.
Une commande permettant d'effacer l'emplacement de stockage par défaut échoue
Vous exécutez une commande updateSettings sur une ressource dont la valeur de l'emplacement de stockage par défaut est définie sur une chaîne vide. La commande échoue et renvoie un code d'erreur 400 (Bad Request). Le message d'erreur ressemble à l'un des suivants :
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
ou
The default storage location may not be removed from an organization's Settings.
Ce comportement est normal.
Une fois qu'un emplacement de stockage par défaut est défini pour une ressource, vous pouvez modifier la valeur, mais vous ne pouvez pas l'effacer ni la supprimer, sauf si l'emplacement de stockage par défaut est spécifié pour un ancêtre dans la hiérarchie des ressources. Vous ne pouvez pas effacer ni annuler l'emplacement de stockage par défaut d'une organisation, car elle n'a pas d'ancêtres.
L'emplacement d'un bucket d'observabilité est en conflit avec une règle d'administration
Vous remarquez que les emplacements de certains buckets d'observabilité sont en conflit avec les emplacements autorisés spécifiés par une règle d'administration.
Il ne s'agit pas d'une erreur.
Les règles d'administration qui restreignent l'emplacement ne sont pas respectées par les buckets d'observabilité.
Plusieurs raisons peuvent expliquer pourquoi l'emplacement d'un bucket d'observabilité peut se trouver dans un emplacement qu'une règle d'organisation n'autorise pas :
Le bucket d'observabilité a été créé avant le 1er juin 2026, date à laquelle l'application de la règle d'administration qui limite l'emplacement a commencé.
Les règles de l'organisation ont changé après la création du bucket d'observabilité.
Problèmes liés aux CMEK
Cette section répertorie les problèmes courants liés à l'utilisation de clés CMEK.
Échec d'une commande permettant d'effacer la clé Cloud KMS par défaut
Vous exécutez une commande updateSettings sur une ressource et un emplacement dont la valeur de la clé Cloud KMS par défaut est définie sur une chaîne vide. La commande échoue et renvoie le code d'erreur 400 (Bad Request). Le message d'erreur ressemble à l'un des messages suivants :
The default KMS key cannot be empty because you have an organization policy that requires CMEK and because no ancestor defines a default KMS key.
ou
The default KMS key cannot be empty because you have an organization policy that requires CMEK.
Ce comportement est normal.
Si vous disposez d'une règle d'administration qui exige l'utilisation de clés CMEK et que vous avez défini une clé Cloud KMS par défaut pour une ressource et un emplacement, vous ne pouvez pas supprimer cette clé, sauf si un ancêtre de la ressource possède une clé par défaut appropriée. Étant donné que les organisations n'ont pas d'ancêtres, vous ne pouvez pas supprimer la clé Cloud KMS par défaut des paramètres par défaut de l'organisation.
Comment trouver la clé utilisée par un bucket d'observabilité ?
Pour obtenir des informations sur la clé de chiffrement utilisée pour les buckets d'observabilité, listez vos buckets d'observabilité.
Les données de réponse incluent des informations sur la clé Cloud KMS, sa version et le compte de service utilisé pour y accéder.
Comment résoudre les erreurs de configuration des clés
Après avoir configuré une clé Cloud KMS par défaut pour une ressource et un emplacement, vous recevez une notification par e-mail de Google Cloud Observability concernant les problèmes d'accès ou vous constatez des erreurs de lecture ou d'écriture dans les buckets d'observabilité avec les CMEK activées. L'e-mail, qui est envoyé aux contacts essentiels, contient des informations telles que les suivantes :
- Nom de la clé Cloud KMS.
- Version de la clé Cloud KMS.
- Nom du compte de service utilisé pour le chiffrement et le déchiffrement.
- Code d'erreur affiché par Google Cloud Observability lors du chiffrement ou du déchiffrement des données.
- Message d'erreur affiché lors du chiffrement ou du déchiffrement des données
La notification fournit des informations sur l'échec et liste les actions que vous pouvez effectuer pour atténuer le problème :
| Erreur | Recommandation |
|---|---|
| Autorisation d'utiliser la clé cryptographique refusée | Le compte de service de la ressource ne dispose pas des autorisations IAM nécessaires pour utiliser la clé Cloud KMS spécifiée. Pour résoudre ce problème, suivez les instructions de l'erreur. Les informations suivantes peuvent vous être utiles : |
| Clé cryptographique désactivée | La clé Cloud KMS spécifiée a été désactivée. Suivez les instructions du message d'erreur pour réactiver la clé. Les informations suivantes peuvent vous être utiles : |
| La clé cryptographique a été détruite | La clé Cloud KMS spécifiée a été détruite. Suivez les instructions ou consultez Gérer votre clé Cloud KMS pour une ressource. |
Échec du provisionnement d'un bucket d'observabilité
Vous êtes un contact essentiel ou le propriétaire d'une ressource, et vous recevez une notification par e-mail de Google Cloud Observability concernant un échec de provisionnement.
Le provisionnement d'un bucket d'observabilité peut échouer en raison d'une erreur de configuration ou d'une erreur interne :
Si le provisionnement échoue en raison d'une erreur interne, vous n'avez rien à faire. Le système se remet automatiquement de ces échecs en réessayant la commande de création jusqu'à ce qu'elle aboutisse.
Lorsque le provisionnement échoue en raison d'une erreur de configuration, vous devez corriger l'erreur. Si les données fournies continuent d'arriver, le système émet automatiquement au moins une commande de création de bucket d'observabilité par jour. Voici quelques exemples d'erreurs de configuration :
- Une règle d'administration n'autorise aucun emplacement de bucket d'observabilité compatible.
- Un emplacement de stockage par défaut est en conflit avec une règle d'administration.
- Une règle d'administration qui exige des clés CMEK, mais aucune clé par défaut n'est configurée.
- Une clé Cloud KMS n'est pas utilisable.
- Un compte de service ne dispose pas d'un rôle requis.
Le reste de cette section explique comment examiner les problèmes de configuration courants.
Examiner la règle d'administration qui limite les emplacements
Examinez les emplacements autorisés spécifiés par une règle d'administration avec un ID de contrainte constraints/gcp.resourceLocations.
Cette règle définit l'ensemble des emplacements où de nouvelles ressources peuvent être créées.
Assurez-vous que la liste des emplacements autorisés inclut au moins un emplacement de bucket d'observabilité compatible. Le provisionnement échoue si l'emplacement de stockage par défaut n'est pas autorisé.
Pour en savoir plus, consultez Afficher les règles d'administration.
Examiner les emplacements de stockage par défaut de vos ressources
Vérifiez et, si nécessaire, mettez à jour les paramètres par défaut des buckets d'observabilité pour l'organisation, le dossier ou le projet avec un emplacement de stockage par défaut.
Pour en savoir plus, consultez Afficher les paramètres par défaut des buckets d'observabilité.
Examiner les règles d'administration qui exigent l'utilisation de CMEK
Deux contraintes régissent les clés CMEK. Une contrainte limite les clés Cloud KMS pouvant être utilisées pour le chiffrement. L'autre contrainte exige l'utilisation de clés Cloud KMS.
Règle de restriction
Déterminez si vous avez configuré une règle avec l'ID de contrainte constraints/gcp.restrictCmekCryptoKeyProjects.
Si c'est le cas, assurez-vous que vos clés Cloud KMS par défaut sont autorisées par la règle d'administration.
Règle requise
Déterminez si vous avez configuré une règle Deny avec l'ID de contrainte constraints/gcp.restrictNonCmekServices.
Si c'est le cas, assurez-vous qu'une clé Cloud KMS par défaut est définie pour l'emplacement de stockage par défaut. Si vous avez également configuré une règle pour limiter les clés pouvant être utilisées, assurez-vous que votre clé Cloud KMS par défaut est autorisée.
Par exemple, si vos règles s'appliquent au niveau de l'organisation, assurez-vous d'avoir configuré les paramètres par défaut des buckets d'observabilité pour votre organisation avec un emplacement de stockage par défaut et, pour cet emplacement, une clé Cloud KMS par défaut.
Google Cloud Observability ne peut pas provisionner de buckets d'observabilité lorsque des CMEK sont requises, mais qu'aucune clé n'est disponible pour chiffrer ou déchiffrer ces données.
Vérifier qu'une clé Cloud KMS est utilisable
Pour déterminer si une clé Cloud KMS est utilisable, exécutez gcloud kms keys list :
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
Avant d'exécuter la commande précédente, effectuez les remplacements suivants :
- LOCATION_ID : emplacement de votre clé Cloud KMS.
- KMS_KEY_RING : nom du trousseau de clés Cloud KMS.
La commande précédente renvoie des informations sur chaque clé à l'emplacement spécifié. Pour votre clé Cloud KMS, assurez-vous que les conditions suivantes sont remplies :
- La clé Cloud KMS est listée dans le tableau.
- La colonne
STATUSlisteENABLED. - La colonne
PURPOSElisteENCRYPT_DECRYPT. Ce paramètre indique que l'objectif de la clé est le chiffrement symétrique :
Si nécessaire, créez une clé Cloud KMS et mettez à jour vos paramètres par défaut pour les buckets d'observabilité pour la ressource et l'emplacement associés.
Vérifier que le compte de service dispose du rôle requis
Vérifiez que le compte de service de la ressource a reçu le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS pour la clé Cloud KMS listée dans les paramètres par défaut des buckets d'observabilité de la ressource.
Pour déterminer les liaisons d'une clé Cloud KMS, exécutez la commande suivante :
gcloud kms keys get-iam-policy KMS_KEY_NAME
Si nécessaire, accordez au compte de service de la ressource le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS pour la clé. Pour en savoir plus, consultez Accorder l'accès à une clé à un compte de service.