Questo documento descrive come risolvere gli errori che potrebbero essere correlati ai bucket di osservabilità. Ad esempio, questa pagina descrive come risolvere i problemi relativi alla configurazione delle impostazioni predefinite per i bucket di osservabilità. Configuri queste impostazioni predefinite per una risorsa, che può essere un'organizzazione, una cartella o un progetto, e ti consentono di:
- Configurare una località di archiviazione predefinita per i bucket di osservabilità.
- Per ogni località in cui scegli di archiviare i dati, puoi configurare l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK).
I discendenti nella gerarchia delle risorse utilizzano automaticamente queste impostazioni, ad eccezione di quelli per cui hai configurato le impostazioni predefinite.
Non vedi dati di traccia
Ti aspetti di vedere i dati nella pagina Esplora trace, ma non ce ne sono.
I dati di Trace vengono archiviati in un bucket di osservabilità denominato _Trace. Esistono diversi motivi per cui potresti non visualizzare i dati di traccia. Per scoprire come
risolvere questo errore, vedi
Nessun dato nella pagina Esplora trace.
Problemi relativi alla località di archiviazione
Questa sezione elenca i problemi comuni relativi all'impostazione o alla cancellazione della località di archiviazione predefinita, che è un campo nelle impostazioni predefinite per i bucket di osservabilità.
Impostazione della località di archiviazione predefinita per una risorsa non riuscita
Provi a impostare la località di archiviazione predefinita per una risorsa, ma il comando non riesce:
Un tentativo di impostare una località non supportata dai bucket di osservabilità non riesce con un codice di errore
400 (Bad Request). Il messaggio di errore è simile al seguente:Unsupported default storage location: my-regionUn tentativo di impostare la località su un valore non consentito da una policy dell'organizzazione non riesce con un
400 (Bad Request)codice di errore. Il messaggio di errore è simile al seguente:Constraint `constraints/gcp.resourceLocations` violated for `folders/12345` attempting to change `folders/12345/locations/global/settings` with location `invalid`. The location must be in the allowed location list configured by the organization policy administrator.
Per risolvere questi errori, procedi nel seguente modo:
Assicurati che la località specificata nel comando sia una località di bucket di osservabilità supportata.
Esamina le policy dell'organizzazione per assicurarti che queste policy consentano la tua località.
Un comando per cancellare la località di archiviazione predefinita non riesce
Esegui un comando updateSettings su una risorsa con il valore della località di archiviazione predefinita impostato su una stringa vuota. Il comando non riesce con un
400 (Bad Request) codice di errore. Il messaggio di errore è simile a uno dei seguenti:
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
o
The default storage location may not be removed from an organization's Settings.
Questo è un comportamento previsto.
Dopo aver impostato una località di archiviazione predefinita per una risorsa, puoi modificare il valore, ma non puoi cancellarlo o annullarlo a meno che la località di archiviazione predefinita non sia specificata per un predecessore nella gerarchia delle risorse. Non puoi cancellare o annullare la località di archiviazione predefinita per un'organizzazione perché non hanno antenati.
La località di un bucket di osservabilità è in conflitto con una policy dell'organizzazione
Noti che le località di alcuni bucket di osservabilità sono in conflitto con le località consentite specificate da una policy dell'organizzazione.
Questo non è un errore.
Le policy dell'organizzazione che limitano la località non sono rispettate dai bucket di osservabilità.
Esistono diversi motivi per cui la località di un bucket di osservabilità potrebbe trovarsi in una località non consentita da una policy dell'organizzazione:
Il bucket di osservabilità è stato creato prima del 1° giugno 2026, data in cui è iniziata l'applicazione della policy dell'organizzazione che limita la località.
La policy dell'organizzazione è cambiata dopo la creazione del bucket di osservabilità.
Problemi relativi alle CMEK
Questa sezione elenca i problemi comuni relativi all'utilizzo delle CMEK.
Un comando per cancellare la chiave Cloud KMS predefinita non riesce
Esegui un comando updateSettings su una risorsa e una località con il valore della chiave Cloud KMS predefinita impostato su una stringa vuota. Il comando non riesce
con un codice di errore 400 (Bad Request). Il messaggio di errore è simile a uno dei seguenti:
The default KMS key cannot be empty because you have an organization policy that requires CMEK and because no ancestor defines a default KMS key.
o
The default KMS key cannot be empty because you have an organization policy that requires CMEK.
Questo è un comportamento previsto.
Se hai una policy dell'organizzazione che richiede l'utilizzo delle CMEK e hai impostato una chiave Cloud KMS predefinita per una risorsa e una località, non puoi rimuovere la chiave a meno che un predecessore della risorsa non abbia una chiave predefinita appropriata. Poiché le organizzazioni non hanno antenati, non puoi rimuovere la chiave Cloud KMS predefinita dalle impostazioni predefinite dell'organizzazione.
Come faccio a trovare la chiave utilizzata da un bucket di osservabilità?
Per ottenere informazioni sulla chiave di crittografia utilizzata per i bucket di osservabilità, elenca i bucket di osservabilità.
I dati di risposta includono informazioni sulla chiave Cloud KMS, sulla relativa versione e sul account di servizio utilizzato per accedere alla chiave.
Come faccio a risolvere gli errori di configurazione delle chiavi?
Dopo aver configurato una chiave Cloud KMS predefinita per una risorsa e una località, ricevi una notifica via email da Google Cloud Observability in merito a problemi di accesso oppure noti errori di lettura o scrittura dai bucket di osservabilità con le CMEK abilitate. L'email, inviata ai contatti essenziali, contiene informazioni come le seguenti:
- Nome della chiave Cloud KMS.
- Versione della chiave Cloud KMS.
- Nome del account di servizio utilizzato per la crittografia e la decrittografia.
- Il codice di errore visualizzato da Google Cloud Observability durante la crittografia o la decrittografia dei dati.
- Il messaggio di errore visualizzato durante la crittografia o la decrittografia dei dati.
La notifica fornisce informazioni sull'errore ed elenca le azioni che puoi intraprendere per mitigare il problema:
| Errore | Suggerimento |
|---|---|
| Autorizzazione alla chiave di crittografia negata | Il account di servizio della risorsa non dispone delle autorizzazioni IAM sufficienti per operare sulla chiave Cloud KMS specificata. Per risolvere questo errore, segui le istruzioni riportate nell'errore. Le seguenti informazioni potrebbero esserti utili: |
| Chiave di crittografia disabilitata | La chiave Cloud KMS specificata è stata disattivata. Segui le istruzioni riportate nell'errore per riattivare la chiave. Le seguenti informazioni potrebbero esserti utili: |
| Chiave di crittografia eliminata | La chiave Cloud KMS specificata è stata eliminata. Segui le istruzioni o consulta Gestire la chiave Cloud KMS per una risorsa. |
Il provisioning di un bucket di osservabilità non riesce
Sei un contatto essenziale o il proprietario di una risorsa, e ricevi una notifica via email da Google Cloud Observability in merito a un errore di provisioning.
Il provisioning di un bucket di osservabilità potrebbe non riuscire a causa di un errore di configurazione o di un errore interno:
Quando il provisioning non riesce a causa di un errore interno, non devi intraprendere alcuna azione. Il sistema recupera automaticamente da questi errori riprovando il comando di creazione finché non va a buon fine.
Quando il provisioning non riesce a causa di un errore di configurazione, devi correggere l'errore. Se i dati forniti continuano ad arrivare, il sistema emette automaticamente almeno un comando di creazione del bucket di osservabilità al giorno. Gli errori di configurazione includono i seguenti:
- Una policy dell'organizzazione non consente alcuna località di bucket di osservabilità supportata.
- Una località di archiviazione predefinita è in conflitto con una policy dell'organizzazione.
- Una policy dell'organizzazione che richiede le CMEK, ma non è configurata una chiave predefinita.
- Una chiave Cloud KMS non è utilizzabile.
- A account di servizio manca un ruolo obbligatorio.
Il resto di questa sezione descrive come esaminare i problemi di configurazione comuni.
Esaminare la policy dell'organizzazione che vincola le località
Esamina le località consentite specificate da una policy dell'organizzazione con un ID vincolo constraints/gcp.resourceLocations.
Questa policy definisce l'insieme di località in cui è possibile creare nuove risorse.
Assicurati che l'elenco delle località consentite includa almeno una località di bucket di osservabilità supportata. Il provisioning non riesce se la località di archiviazione predefinita non è una località consentita.
Per saperne di più, vedi Visualizzare le policy dell'organizzazione.
Esaminare le località di archiviazione predefinite per le risorse
Esamina e, se necessario, aggiorna le impostazioni predefinite per i bucket di osservabilità per l'organizzazione, la cartella o il progetto con una località di archiviazione predefinita.
Per saperne di più, vedi Visualizzare le impostazioni predefinite per i bucket di osservabilità.
Esaminare le policy dell'organizzazione che richiedono le CMEK
Esistono due vincoli che regolano le CMEK. Un vincolo limita le chiavi Cloud KMS che possono essere utilizzate per la crittografia. L'altro vincolo richiede l'utilizzo delle chiavi Cloud KMS.
Policy di limitazione
Determina se hai configurato una policy con l'ID vincolo constraints/gcp.restrictCmekCryptoKeyProjects.
In caso affermativo, assicurati che le chiavi Cloud KMS predefinite siano consentite dalla policy dell'organizzazione.
Policy di richiesta
Determina se hai configurato una policy Deny con l'ID vincolo constraints/gcp.restrictNonCmekServices.
In caso affermativo, assicurati che sia definita una chiave Cloud KMS predefinita per la località di archiviazione predefinita. Se hai anche configurato una policy per limitare le chiavi che possono essere utilizzate, assicurati che la chiave Cloud KMS predefinita sia consentita.
Ad esempio, se le policy si applicano a livello di organizzazione, assicurati di aver configurato le impostazioni predefinite per i bucket di osservabilità per la tua organizzazione con una località di archiviazione predefinita e, per quella località, una chiave Cloud KMS predefinita.
Google Cloud Observability non può eseguire il provisioning dei bucket di osservabilità quando sono richieste le CMEK, ma non è disponibile una chiave per criptare o decriptare i dati.
Verificare che una chiave Cloud KMS sia utilizzabile
Per determinare se una chiave Cloud KMS è utilizzabile,
esegui gcloud kms keys list:
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
Prima di eseguire il comando precedente, effettua le seguenti sostituzioni:
- LOCATION_ID: la località della chiave Cloud KMS.
- KMS_KEY_RING: il nome del keyring Cloud KMS.
Il comando precedente restituisce informazioni su ogni chiave nella località specificata. Per la chiave Cloud KMS, assicurati che sia vero quanto segue:
- La chiave Cloud KMS è elencata nella tabella.
- La colonna
STATUSelencaENABLED. - La colonna
PURPOSEelencaENCRYPT_DECRYPT. Questa impostazione indica che lo scopo della chiave è la crittografia simmetrica:
Se necessario, crea una nuova chiave Cloud KMS e aggiorna le impostazioni predefinite per i bucket di osservabilità per la risorsa e la località associate.
Verificare che il account di servizio abbia il ruolo richiesto
Verifica che al account di servizio della risorsa sia stato concesso il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per la chiave Cloud KMS elencata come parte delle impostazioni predefinite per i bucket di osservabilità per la risorsa.
Per determinare i binding per una chiave Cloud KMS, esegui il comando seguente:
gcloud kms keys get-iam-policy KMS_KEY_NAME
Se necessario, concedi al account di servizio della risorsa il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per la chiave. Per saperne di più, vedi Concedere l'accesso alla account di servizio account.