Neste documento, descrevemos como resolver falhas que podem estar relacionadas a buckets de observabilidade. Por exemplo, esta página descreve como resolver problemas relacionados à configuração de opções padrão para intervalos de observabilidade. Você configura essas definições padrão para um recurso, que pode ser uma organização, pasta ou projeto, e elas permitem fazer o seguinte:
- Configure um local de armazenamento padrão para seus buckets de observabilidade.
- Para cada local em que você escolhe armazenar dados, é possível configurar o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs).
Os descendentes na hierarquia de recursos usam essas configurações automaticamente, exceto aqueles em que você configurou as configurações padrão.
Você não vê nenhum dado de rastreamento
Você espera ver dados na página Explorador de rastreamentos, mas não há nenhum.
Os dados de rastreamento são armazenados em um bucket de observabilidade chamado _Trace. Há vários motivos para isso acontecer. Para saber como
resolver essa falha, consulte
Não há dados na página Explorador de traces.
Problemas relacionados ao local de armazenamento
Esta seção lista problemas comuns relacionados à definição ou remoção do local de armazenamento padrão, que é um campo nas configurações padrão dos buckets de observabilidade.
Falha ao definir o local de armazenamento padrão para um recurso
Você tenta definir o local de armazenamento padrão para um recurso, mas o comando falha:
Uma tentativa de definir um local que não é compatível com buckets de observabilidade falha com um código de erro
400 (Bad Request). A mensagem de falha é semelhante a esta:Unsupported default storage location: my-regionUma tentativa de definir o local para um valor que uma política da organização não permite falha com um código de erro
400 (Bad Request). A mensagem de falha é semelhante a esta:Constraint `constraints/gcp.resourceLocations` violated for `folders/12345` attempting to change `folders/12345/locations/global/settings` with location `invalid`. The location must be in the allowed location list configured by the organization policy administrator.
Para resolver essas falhas, faça o seguinte:
Verifique se o local especificado no comando é um local de bucket de observabilidade compatível.
Revise as políticas da organização para garantir que elas permitam sua localização.
Um comando para limpar o local de armazenamento padrão falha
Você emite um comando updateSettings para um recurso com o valor do local de armazenamento padrão definido como uma string vazia. O comando falha com um código de erro 400 (Bad Request). A mensagem de erro é semelhante a uma das seguintes opções:
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
ou
The default storage location may not be removed from an organization's Settings.
Esse é o comportamento esperado.
Depois que um local de armazenamento padrão é definido para um recurso, é possível mudar o valor, mas não limpar ou remover a definição, a menos que o local de armazenamento padrão seja especificado para um ancestral na hierarquia de recursos. Não é possível limpar ou remover o local de armazenamento padrão de uma organização porque ela não tem ancestrais.
O local de um bucket de observabilidade entra em conflito com uma política da organização
Você percebe que os locais de alguns intervalos de observabilidade entram em conflito com os locais permitidos especificados em uma política da organização.
Isso não é um erro.
As políticas da organização que restringem o local não são respeitadas pelos buckets de observabilidade.
Há vários motivos para o local de um bucket de observabilidade estar em um local que uma política da organização não permite:
O bucket de observabilidade foi criado antes de 1º de junho de 2026, data em que começou a aplicação da política da organização que restringe o local.
A política da organização mudou depois que o bucket de observabilidade foi criado.
Problemas relacionados a CMEKs
Esta seção lista problemas comuns relacionados ao uso de CMEKs.
Um comando para limpar a chave padrão do Cloud KMS falha
Você emite um comando updateSettings para um recurso e local com o valor
da chave padrão do Cloud KMS definida como uma string vazia. O comando falha com um código de erro 400 (Bad Request). A mensagem de erro é semelhante a uma
das seguintes:
The default KMS key cannot be empty because you have an organization policy that requires CMEK and because no ancestor defines a default KMS key.
ou
The default KMS key cannot be empty because you have an organization policy that requires CMEK.
Esse é o comportamento esperado.
Se você tiver uma política da organização que exija o uso de CMEKs e tiver definido uma chave padrão do Cloud KMS para um recurso e um local, não será possível remover essa chave, a menos que um ancestral do recurso tenha uma chave padrão adequada. Como as organizações não têm ancestrais, não é possível remover a chave padrão do Cloud KMS das configurações padrão da organização.
Como posso encontrar a chave usada por um bucket de observabilidade?
Para informações sobre a chave de criptografia usada em um bucket de observabilidade, liste seus buckets de observabilidade.
Os dados da resposta incluem informações sobre a chave do Cloud KMS, a versão dela e a conta de serviço usada para acessar a chave.
Como resolver erros de configuração de chaves
Depois de configurar uma chave padrão do Cloud KMS para um recurso e um local, você vai receber uma notificação por e-mail do Google Cloud Observability sobre problemas de acesso ou vai notar erros de leitura ou gravação nos buckets de observabilidade com CMEKs ativadas. O e-mail, que é enviado aos Contatos essenciais, contém informações como:
- Nome da chave do Cloud KMS.
- Versão da chave do Cloud KMS.
- Nome da conta de serviço usada para criptografia e descriptografia.
- O código de erro detectado pelo Google Cloud Observability ao criptografar ou descriptografar dados.
- A mensagem de erro exibida ao criptografar ou descriptografar dados
A notificação fornece informações sobre a falha e lista ações que você pode realizar para minimizar o problema:
| Erro | Recomendação |
|---|---|
| Permissão de chave criptográfica negada | A conta de serviço do recurso não tem permissões do IAM suficientes para operar na chave do Cloud KMS especificada. Para resolver essa falha, siga as instruções no erro. As informações a seguir podem ser úteis: |
| A chave criptográfica está desativada | A chave do Cloud KMS especificada foi desativada. Siga as instruções no erro para reativar a chave. As informações a seguir podem ser úteis: |
| A chave criptográfica foi destruída | A chave do Cloud KMS especificada foi destruída. Siga as instruções ou consulte Gerenciar sua chave do Cloud KMS para um recurso. |
Falha no provisionamento de um bucket de observabilidade
Você é um contato essencial ou proprietário de um recurso e recebe uma notificação por e-mail do Google Cloud Observability sobre uma falha de provisionamento.
O provisionamento de um bucket de observabilidade pode falhar devido a um erro de configuração ou interno:
Quando o provisionamento falha devido a um erro interno, não é necessário fazer nada. O sistema se recupera automaticamente dessas falhas repetindo o comando de criação até que ele seja bem-sucedido.
Quando o provisionamento falha devido a um erro de configuração, é necessário corrigir o erro. Se os dados fornecidos continuarem chegando, o sistema vai emitir automaticamente pelo menos um comando de criação de bucket de observabilidade por dia. Os erros de configuração incluem o seguinte:
- Uma política da organização não permite nenhum local de bucket de observabilidade compatível.
- Um local de armazenamento padrão entra em conflito com uma política da organização.
- Uma política da organização que exige CMEKs, mas uma chave padrão não está configurada.
- Uma chave do Cloud KMS não pode ser usada.
- Uma conta de serviço não tem um papel obrigatório.
O restante desta seção descreve como investigar problemas comuns de configuração.
Analise a política da organização que restringe locais
Analise os locais permitidos especificados por uma política da organização com um ID de restrição constraints/gcp.resourceLocations.
Essa política define o conjunto de locais em que novos recursos podem ser criados.
Verifique se a lista de locais permitidos inclui pelo menos um local de bucket de observabilidade compatível. O provisionamento falha se o local de armazenamento padrão não for permitido.
Para mais informações, consulte Como visualizar políticas da organização.
Revise os locais de armazenamento padrão dos seus recursos
Revise e, se necessário, atualize as configurações padrão dos intervalos de observabilidade para organização, pasta ou projeto com um local de armazenamento padrão.
Para saber mais, consulte Ver as configurações padrão dos buckets de observabilidade.
Revisar as políticas da organização que exigem CMEKs
Há duas restrições que regem as CMEKs. Uma restrição limita as chaves do Cloud KMS que podem ser usadas para criptografia. A outra restrição exige o uso de chaves do Cloud KMS.
Política de restrição
Determine se você configurou uma política com o ID de restrição
constraints/gcp.restrictCmekCryptoKeyProjects.
Se você tiver, verifique se as chaves padrão do Cloud KMS são permitidas pela política da organização.
Exigir política
Determine se você configurou uma política Deny com o ID de restrição constraints/gcp.restrictNonCmekServices.
Se sim, verifique se uma chave padrão do Cloud KMS está definida para o local de armazenamento padrão. Se você também tiver configurado uma política para restringir quais chaves podem ser usadas, verifique se a chave padrão do Cloud KMS é permitida.
Por exemplo, se as políticas forem aplicadas no nível da organização, verifique se você configurou as definições padrão para buckets de observabilidade com um local de armazenamento padrão e uma chave padrão do Cloud KMS.
O Google Cloud Observability não pode provisionar buckets de observabilidade quando as CMEKs são necessárias, mas uma chave para criptografar ou descriptografar esses dados não está disponível.
Verificar se uma chave do Cloud KMS pode ser usada
Para determinar se uma chave do Cloud KMS pode ser usada, execute gcloud kms keys list:
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
Antes de executar o comando anterior, faça as seguintes substituições:
- LOCATION_ID: o local da sua chave do Cloud KMS.
- KMS_KEY_RING: o nome do keyring do Cloud KMS.
O comando anterior retorna informações sobre cada chave no local especificado. Para sua chave do Cloud KMS, verifique se o seguinte é verdadeiro:
- A chave do Cloud KMS está listada na tabela.
- A coluna
STATUSlistaENABLED. - A coluna
PURPOSElistaENCRYPT_DECRYPT. Essa configuração indica que a finalidade da chave é a criptografia simétrica:
Se necessário, crie uma chave do Cloud KMS e atualize as configurações padrão dos buckets de observabilidade para o recurso e o local associados.
Verificar se a conta de serviço tem o papel necessário
Verifique se a conta de serviço do recurso recebeu o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS para a chave do Cloud KMS listada como parte das configurações padrão dos buckets de observabilidade do recurso.
Para determinar as vinculações de uma chave do Cloud KMS, execute o seguinte comando:
gcloud kms keys get-iam-policy KMS_KEY_NAME
Se necessário, conceda à conta de serviço do recurso o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS para a chave. Para saber mais, consulte Conceder acesso de conta de serviço a uma chave.