Résoudre les problèmes liés aux buckets d'observabilité

Ce document explique comment résoudre les échecs pouvant être liés aux buckets d'observabilité. Par exemple, cette page explique comment résoudre les problèmes liés à la configuration des paramètres par défaut des buckets d'observabilité. Vous configurez ces paramètres par défaut pour une ressource, qui peut être une organisation, un dossier ou un projet, et ils vous permettent d'effectuer les opérations suivantes :

Configurer un emplacement de stockage par défaut pour vos buckets d'observabilité.
Pour chaque emplacement où vous choisissez de stocker des données, vous pouvez configurer l'utilisation de clés de chiffrement gérées par le client (CMEK).

Les descendants de la hiérarchie de ressources utilisent automatiquement ces paramètres, à l'exception de ceux pour lesquels vous avez configuré des paramètres par défaut.

Vous ne voyez aucune donnée de trace

Vous vous attendez à voir des données sur la page Explorateur de traces, mais il n'y en a pas.

Les données de trace sont stockées dans un bucket d'observabilité nommé _Trace. Plusieurs raisons peuvent expliquer pourquoi vous ne voyez pas de données de trace. Pour savoir comment résoudre cet échec, consultez la section Aucune donnée sur la page Explorateur de traces.

Problèmes liés à l'emplacement de stockage

Cette section répertorie les problèmes courants liés à la définition ou à la suppression de l'emplacement de stockage par défaut, qui est un champ des paramètres par défaut des buckets d'observabilité.

Échec de la définition de l'emplacement de stockage par défaut pour une ressource

Vous essayez de définir l'emplacement de stockage par défaut pour une ressource, mais la commande échoue :

Toute tentative de définition d'un emplacement non compatible avec les buckets d'observabilité échoue avec le code d'erreur 400 (INVALID_ARGUMENT). Le message d'échec est semblable à celui-ci :
```
Unsupported default storage location: my-region
```

Pour résoudre ces échecs, procédez comme suit :

Assurez-vous que l'emplacement que vous spécifiez dans la commande est un emplacement de bucket d'observabilité compatible.

Échec d'une commande visant à supprimer l'emplacement de stockage par défaut

Vous exécutez une commande updateSettings sur une ressource dont la valeur de l'emplacement de stockage par défaut est définie sur une chaîne vide. La commande échoue avec le code d'erreur 403 (INVALID_REQUEST). Le message d'erreur est semblable à l'un des suivants :

Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.

The default storage location may not be removed from an organization's Settings.

Ce comportement est normal.

Une fois qu'un emplacement de stockage par défaut est défini pour une ressource, vous pouvez modifier la valeur, mais vous ne pouvez pas la supprimer ni l'annuler, sauf si l'emplacement de stockage par défaut est spécifié pour un ancêtre dans la hiérarchie de ressources. Vous ne pouvez pas supprimer ni annuler l'emplacement de stockage par défaut d'une organisation, car elle n'a pas d'ancêtres.

L'emplacement d'un bucket d'observabilité est en conflit avec une règle d'administration

Vous remarquez que les emplacements de certains buckets d'observabilité sont en conflit avec les emplacements autorisés spécifiés par une règle d'administration.

Il ne s'agit pas d'une erreur.

Les règles d'administration qui limitent l'emplacement ne sont pas respectées par les buckets d'observabilité.

Problèmes liés à la CMEK

Cette section répertorie les problèmes courants liés à l'utilisation de la CMEK.

Comment trouver les paramètres CMEK d'un bucket d'observabilité ?

Pour déterminer si un bucket d'observabilité utilise la CMEK, vous pouvez lister vos buckets d'observabilité.

Les données de réponse incluent des informations sur la clé Cloud KMS, sa version et le compte de service utilisé pour accéder à la clé.

Comment résoudre les erreurs de configuration de la CMEK ?

Une fois que vous avez configuré la CMEK pour une ressource et un emplacement, vous recevez une notification par e-mail de Google Cloud Observability concernant des problèmes d'accès à la CMEK ou vous remarquez des erreurs de lecture ou d'écriture provenant de buckets d'observabilité pour lesquels la CMEK est activée. L' e-mail, envoyé aux contacts essentiels, contient des informations telles que les suivantes :

Nom de la clé Cloud KMS.
Version de la clé Cloud KMS.
Nom du compte de service utilisé pour le chiffrement et le déchiffrement.
Code d'erreur affiché par Google Cloud Observability lors du chiffrement ou du déchiffrement des données.
Message d'erreur affiché lors du chiffrement ou du déchiffrement des données.

La notification fournit des informations sur l'échec et répertorie les actions que vous pouvez entreprendre pour atténuer le problème :

Erreur	Recommandation
Autorisation d'utiliser la clé cryptographique refusée	Le compte de service de la ressource ne dispose pas des autorisations IAM nécessaires pour utiliser la clé Cloud KMS spécifiée. Pour résoudre cet échec, suivez les instructions du message d'erreur. Les informations suivantes peuvent vous être utiles : Vérifier que le compte de service dispose du rôle requis Accorder à un compte de service l'accès à une clé
Clé cryptographique désactivée	La clé Cloud KMS spécifiée a été désactivée. Suivez les instructions du message d'erreur pour réactiver la clé. Les informations suivantes peuvent vous être utiles : Vérifier qu'une clé Cloud KMS est utilisable Accorder à un compte de service l'accès à une clé
La clé cryptographique a été détruite	La clé Cloud KMS spécifiée a été détruite. Suivez les instructions ou consultez la section Gérer votre clé Cloud KMS pour une ressource.

Erreur

Recommandation

Autorisation d'utiliser la clé cryptographique refusée

Le compte de service de la ressource ne dispose pas des autorisations IAM nécessaires pour utiliser la clé Cloud KMS spécifiée. Pour résoudre cet échec, suivez les instructions du message d'erreur. Les informations suivantes peuvent vous être utiles :

Clé cryptographique désactivée

La clé Cloud KMS spécifiée a été désactivée. Suivez les instructions du message d'erreur pour réactiver la clé. Les informations suivantes peuvent vous être utiles :

La clé cryptographique a été détruite

La clé Cloud KMS spécifiée a été détruite. Suivez les instructions ou consultez la section Gérer votre clé Cloud KMS pour une ressource.

Échec du provisionnement d'un bucket d'observabilité

Vous êtes un contact essentiel ou le propriétaire d'une ressource, et vous recevez une notification par e-mail de Google Cloud Observability concernant un échec de provisionnement.

Le provisionnement d'un bucket d'observabilité peut échouer en raison d'une erreur de configuration ou d'une erreur interne :

Lorsque le provisionnement échoue en raison d'une erreur interne, vous n'avez pas besoin d'intervenir. Le système récupère automatiquement de ces échecs en réessayant la commande de création jusqu'à ce qu'elle réussisse.
Lorsque le provisionnement échoue en raison d'une erreur de configuration, vous devez corriger l'erreur. Si les données fournies continuent d'arriver, le système émet automatiquement au moins une commande de création de bucket d'observabilité par jour. Les erreurs de configuration incluent les suivantes :
- Une clé Cloud KMS n'est pas utilisable.
- Un compte de service ne dispose pas d'un rôle requis.

Le reste de cette section explique comment examiner les problèmes de configuration courants.

Examiner les emplacements de stockage par défaut de vos ressources

Examinez et, si nécessaire, mettez à jour les paramètres par défaut des buckets d'observabilité pour l'organisation, le dossier ou le projet avec un emplacement de stockage par défaut.

Pour en savoir plus, consultez la section Afficher les paramètres par défaut des buckets d'observabilité.

Vérifier qu'une clé Cloud KMS est utilisable

Pour déterminer si une clé Cloud KMS est utilisable, exécutez gcloud kms keys list :

gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

Avant d'exécuter la commande précédente, effectuez les remplacements suivants :

LOCATION_ID : emplacement de votre clé Cloud KMS.
KMS_KEY_RING : nom du trousseau de clés Cloud KMS.

La commande précédente renvoie des informations sur chaque clé de l'emplacement spécifié. Pour votre clé Cloud KMS, assurez-vous que les conditions suivantes sont remplies :

La clé Cloud KMS est répertoriée dans le tableau.
La colonne STATUS affiche ENABLED.
La colonne PURPOSE affiche ENCRYPT_DECRYPT. Ce paramètre indique que l'objectif de la clé est le chiffrement symétrique :

Si nécessaire, créez une nouvelle clé Cloud KMS et mettez à jour vos paramètres par défaut des buckets d'observabilité pour la ressource et l'emplacement associés.

Vérifier que le compte de service dispose du rôle requis

Vérifiez que le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS a été attribué au compte de service de la ressource pour la clé Cloud KMS répertoriée dans les paramètres par défaut des buckets d'observabilité de la ressource.

Pour déterminer les liaisons d'une clé Cloud KMS, exécutez la commande suivante :

gcloud kms keys get-iam-policy KMS_KEY_NAME

Si nécessaire, accordez le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS au compte de service de la ressource pour la clé. Pour en savoir plus, consultez la section Accorder à un compte de service l'accès à une clé.