פתרון בעיות בדליים של נתוני יכולת הצפייה

במאמר הזה מוסבר איך לפתור בעיות שקשורות למאגרי נתונים של יכולת תצפית. לדוגמה, בדף הזה מוסבר איך לפתור בעיות שקשורות להגדרת ברירת מחדל של קטגוריות של נתונים שניתנים לצפייה. אתם מגדירים את הגדרות ברירת המחדל האלה למשאב, שיכול להיות ארגון, תיקייה או פרויקט, והן מאפשרות לכם לבצע את הפעולות הבאות:

  • הגדרת מיקום אחסון שמוגדר כברירת מחדל לקטגוריות של נתוני Observability.
  • לכל מיקום שבו אתם בוחרים לאחסן נתונים, אתם יכולים להגדיר שימוש במפתחות הצפנה בניהול הלקוח (CMEK).

ההגדרות האלה חלות באופן אוטומטי על כל צאצא בהיררכיית המשאבים, למעט צאצאים שהגדרתם להם הגדרות ברירת מחדל.

לא רואים נתוני מעקב

ציפיתם לראות נתונים בדף Trace Explorer, אבל אין נתונים.

נתוני Trace מאוחסנים בקטגוריות של נתוני observability שנקראות _Trace. יכולות להיות כמה סיבות לכך שלא מוצגים נתוני מעקב. כדי לפתור את הבעיה הזו, אפשר לעיין במאמר אין נתונים בדף Trace Explorer.

בקטע הזה מפורטות בעיות נפוצות שקשורות להגדרה או לביטול של מיקום ברירת המחדל לאחסון, שהוא שדה בהגדרות ברירת המחדל של מאגרי נתונים של נתוני Observability.

הגדרת מיקום האחסון שמוגדר כברירת מחדל למשאב נכשלת

ניסיתם להגדיר את מיקום האחסון שמוגדר כברירת מחדל למשאב, אבל הפקודה נכשלה:

  • ניסיון להגדיר מיקום שלא נתמך על ידי קטגוריות של נתונים למעקב נכשל עם קוד השגיאה 400 (Bad Request). הודעת השגיאה דומה להודעה הבאה:

    Unsupported default storage location: my-region
    
  • ניסיון להגדיר את המיקום לערך שמדיניות הארגון לא מאפשרת ייכשל ויוחזר קוד השגיאה 400 (Bad Request). הודעת השגיאה דומה להודעה הבאה:

    Constraint `constraints/gcp.resourceLocations` violated for `folders/12345` attempting to change `folders/12345/locations/global/settings` with location `invalid`. The location must be in the allowed location list configured by the organization policy administrator.
    

כדי לפתור את הבעיות האלה, צריך לבצע את הפעולות הבאות:

פקודה למחיקת מיקום האחסון שמוגדר כברירת מחדל נכשלת

אתם מפעילים פקודת updateSettings על משאב עם ערך של מיקום ברירת המחדל לאחסון שמוגדר כמחרוזת ריקה. הפקודה נכשלת עם קוד השגיאה 400 (Bad Request). הודעת השגיאה דומה לאחת מההודעות הבאות:

Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.

או

The default storage location may not be removed from an organization's Settings.

זה תקין.

אחרי שמגדירים מיקום אחסון שמוגדר כברירת מחדל למשאב, אפשר לשנות את הערך אבל אי אפשר למחוק או לבטל את ההגדרה של הערך, אלא אם מיקום האחסון שמוגדר כברירת מחדל מצוין עבור צאצא בהיררכיית המשאבים. אי אפשר למחוק או לבטל את הגדרת מיקום האחסון שמוגדר כברירת מחדל בארגון כי אין לו יחידות ארגוניות ברמת היררכיה גבוהה יותר.

המיקום של מאגר נתונים של יכולת התבוננות מתנגש עם מדיניות הארגון

הבחנתם שהמיקומים של חלק מהמאגרי המידע של נתוני ה-Observability סותרים את המיקומים המותרים שצוינו במדיניות הארגון.

זו לא שגיאה.

מדיניות ארגונית שמגבילה את המיקום לא חלה על קטגוריות של נתונים שניתנים לצפייה.

יכולות להיות כמה סיבות לכך שהמיקום של מאגר נתונים של יכולת התבוננות הוא מיקום שמדיניות הארגון לא מאפשרת:

  • קטגוריית הנתונים של יכולת הצפייה נוצרה לפני 1 ביוני 2026, התאריך שבו התחילה האכיפה של מדיניות הארגון שמגבילה את המיקום.

  • מדיניות הארגון השתנתה אחרי שיצרתם את מאגר הנתונים של יכולת הצפייה.

בקטע הזה מפורטות בעיות נפוצות שקשורות לשימוש במפתחות CMEK.

פקודה לניקוי מפתח Cloud KMS שמוגדר כברירת מחדל נכשלת

מריצים פקודת updateSettings למשאב ולמיקום עם הערך של מפתח ברירת המחדל של Cloud KMS שמוגדר כמחרוזת ריקה. הפקודה נכשלת עם קוד השגיאה 400 (Bad Request). הודעת השגיאה דומה לאחת מההודעות הבאות:

The default KMS key cannot be empty because you have an organization policy that requires CMEK and because no ancestor defines a default KMS key.

או

The default KMS key cannot be empty because you have an organization policy that requires CMEK.

זה תקין.

אם יש לכם מדיניות ארגונית שמחייבת שימוש במפתחות CMEK והגדרתם מפתח Cloud KMS כברירת מחדל למשאב ולמיקום, לא תוכלו להסיר את המפתח הזה אלא אם למשאב אב יש מפתח ברירת מחדל מתאים. לארגונים אין ישויות אב, ולכן אי אפשר להסיר את מפתח ברירת המחדל של Cloud KMS מהגדרות ברירת המחדל של הארגון.

איך אפשר למצוא את המפתח שבו נעשה שימוש בדלי נתונים של יכולת התבוננות?

כדי לקבל מידע על מפתח ההצפנה שמשמש לקטגוריות של נתונים שניתנים לצפייה, מציגים רשימה של הקטגוריות של נתונים שניתנים לצפייה.

נתוני התגובה כוללים מידע על מפתח Cloud KMS, על הגרסה שלו ועל חשבון השירות ששימש לגישה למפתח.

איך פותרים שגיאות בהגדרת המפתחות

אחרי שמגדירים מפתח ברירת מחדל של Cloud KMS למשאב ולמיקום, מקבלים התראה באימייל מ-Google Cloud Observability על בעיות בגישה, או שמבחינים בשגיאות קריאה או כתיבה ממאגרי תצפית עם CMEK מופעל. האימייל, שנשלח אל אנשי קשר חיוניים, כולל מידע כמו:

  • השם של מפתח Cloud KMS.
  • גרסת מפתח Cloud KMS.
  • השם של חשבון השירות שמשמש להצפנה ולפענוח.
  • קוד השגיאה שמוצג ב-Google Cloud Observability כשמצפינים או מפענחים נתונים.
  • הודעת השגיאה שמוצגת כשמצפינים או מפענחים נתונים

בהתראה מפורט מידע על הכשל ומופיעות פעולות שאפשר לבצע כדי לפתור את הבעיה:

שגיאה המלצה
הרשאת הגישה למפתח קריפטוגרפי נדחתה

לחשבון השירות של המשאב אין הרשאות IAM מספיקות כדי לפעול על מפתח Cloud KMS שצוין. כדי לפתור את הבעיה, פועלים לפי ההוראות שמופיעות בשגיאה. המידע הבא עשוי לעזור לך:

המפתח הקריפטוגרפי מושבת

מפתח Cloud KMS שצוין הושבת. פועלים לפי ההוראות שמופיעות בשגיאה כדי להפעיל מחדש את המפתח. המידע הבא עשוי לעזור לך:

המפתח הקריפטוגרפי הושמד מפתח Cloud KMS שצוין הושמד. פועלים לפי ההוראות או קוראים את המאמר ניהול המפתח של Cloud KMS עבור משאב.

הקצאת הרשאות ידנית מראש נכשלת עבור מאגר נתונים של יכולת צפייה

אתם איש קשר חיוני או בעלים של משאב, ואתם מקבלים התראה באימייל מ-Google Cloud Observability על כשל בהקצאת משאבים.

יכול להיות שהקצאת מאגר נתונים של נתוני תצפית תיכשל בגלל שגיאת הגדרה או בגלל שגיאה פנימית:

בחלק הבא של המאמר מוסבר איך לבדוק בעיות נפוצות בהגדרות.

בדיקת מדיניות הארגון שמגבילה את המיקומים

בודקים את המיקומים המותרים שצוינו במדיניות הארגון עם מזהה האילוץ constraints/gcp.resourceLocations. המדיניות הזו מגדירה את קבוצת המיקומים שבהם אפשר ליצור משאבים חדשים.

מוודאים שרשימת המיקומים המותרים כוללת לפחות מיקום נתמך אחד של קטגוריית נתונים למעקב. הקצאת ההרשאות תיכשל אם מיקום האחסון שמוגדר כברירת מחדל לא מופיע ברשימת המיקומים המורשים.

למידע נוסף על מדיניות הארגון

בדיקת מיקומי האחסון שמוגדרים כברירת מחדל למשאבים

בודקים את הגדרות ברירת המחדל של קטגוריות ה-Observability של ארגון, תיקייה או פרויקט עם מיקום אחסון שמוגדר כברירת מחדל, ומעדכנים אותן לפי הצורך.

מידע נוסף זמין במאמר בנושא הצגת הגדרות ברירת המחדל של מאגרי נתונים של יכולת תצפית.

בדיקת מדיניות הארגון שדורשת שימוש במפתחות CMEK

יש שני אילוצים שחלים על CMEK. אילוץ אחד מגביל את מפתחות Cloud KMS שאפשר להשתמש בהם להצפנה. האילוץ השני מחייב שימוש במפתחות של Cloud KMS.

הגבלת מדיניות

בודקים אם הגדרתם מדיניות עם מזהה האילוץ constraints/gcp.restrictCmekCryptoKeyProjects.

אם כן, צריך לוודא שמפתחות ברירת המחדל של Cloud KMS מורשים לפי מדיניות הארגון.

מדיניות נדרשת

בודקים אם הגדרתם מדיניות Deny עם מזהה האילוץ constraints/gcp.restrictNonCmekServices.

אם כן, צריך לוודא שמוגדר מפתח ברירת מחדל של Cloud KMS למיקום ברירת המחדל לאחסון. אם הגדרתם גם מדיניות להגבלת המפתחות שאפשר להשתמש בהם, צריך לוודא שמפתח ברירת המחדל של Cloud KMS מורשה.

לדוגמה, אם המדיניות שלכם חלה ברמת הארגון, צריך לוודא שהגדרתם את הגדרות ברירת המחדל לקטגוריות של נתונים לצורך יכולת צפייה בארגון, עם מיקום אחסון שמוגדר כברירת מחדל, ומפתח Cloud KMS שמוגדר כברירת מחדל למיקום הזה.

‫Google Cloud Observability לא יכול להקצות קטגוריות של נתונים לצורך ניטור כשנדרשים מפתחות CMEK אבל אין מפתח להצפנה או לפענוח של הנתונים האלה.

אימות של מפתח Cloud KMS

כדי לבדוק אם אפשר להשתמש במפתח Cloud KMS, מריצים את הפקודה gcloud kms keys list:

gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

  • LOCATION_ID: המיקום של מפתח Cloud KMS.
  • KMS_KEY_RING: השם של אוסף המפתחות ב-Cloud KMS.

הפקודה הקודמת מחזירה מידע על כל מפתח במיקום שצוין. לגבי מפתח Cloud KMS, צריך לוודא שהתנאים הבאים מתקיימים:

  • מפתח Cloud KMS מופיע בטבלה.
  • בעמודה STATUS מופיע ENABLED.
  • בעמודה PURPOSE מופיע ENCRYPT_DECRYPT. ההגדרה הזו מציינת שהמטרה של המפתח היא הצפנה סימטרית:

במקרה הצורך, יוצרים מפתח חדש של Cloud KMS ומעדכנים את הגדרות ברירת המחדל של קטגוריות של נתונים שניתן לצפייה עבור המשאב והמיקום המשויכים.

אימות שלחשבון השירות יש את התפקיד הנדרש

מוודאים שחשבון השירות של המשאב קיבל את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter עבור מפתח Cloud KMS שמופיע כחלק מהגדרות ברירת המחדל של קטגוריות של נתונים שניתנים לצפייה עבור המשאב.

כדי לקבוע את הקישורים למפתח Cloud KMS, מריצים את הפקודה הבאה:

gcloud kms keys get-iam-policy KMS_KEY_NAME

אם יש צורך, מעניקים לחשבון השירות של המשאב את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter בשביל המפתח. מידע נוסף מופיע במאמר איך נותנים לחשבון שירות גישה למפתח.