Soluciona problemas relacionados con los buckets de observabilidad

En este documento, se describe cómo resolver fallas que podrían estar relacionadas con los buckets de observabilidad. Por ejemplo, en esta página, se describe cómo resolver problemas relacionados con la configuración de los parámetros predeterminados para los buckets de observabilidad. Puedes configurar estos parámetros predeterminados para un recurso, que puede ser una organización, una carpeta o un proyecto, y te permiten hacer lo siguiente:

Configura una ubicación de almacenamiento predeterminada para tus buckets de observabilidad.
Para cada ubicación en la que elijas almacenar datos, puedes configurar el uso de claves de encriptación administradas por el cliente (CMEK).

Los elementos secundarios de la jerarquía de recursos usan automáticamente estos parámetros de configuración, excepto aquellos en los que configuraste parámetros de configuración predeterminados.

No ves ningún dato de registro

Esperas ver datos en la página Explorador de Trace, pero no hay ninguno.

Los datos de seguimiento se almacenan en buckets de observabilidad llamados _Trace. Existen varios motivos por los que es posible que no veas datos de seguimiento. Para obtener información sobre cómo resolver este error, consulta No hay datos en la página Explorador de seguimiento.

Problemas relacionados con la ubicación de almacenamiento

En esta sección, se enumeran los problemas comunes relacionados con la configuración o el borrado de la ubicación de almacenamiento predeterminada, que es un campo en la configuración predeterminada de los buckets de observabilidad.

No se puede configurar la ubicación de almacenamiento predeterminada para un recurso

Intentas establecer la ubicación de almacenamiento predeterminada para un recurso, pero el comando falla:

Si intentas establecer una ubicación que no es compatible con los buckets de observabilidad, se producirá un error con el código 400 (INVALID_ARGUMENT). El mensaje de error es similar al siguiente:
```
Unsupported default storage location: my-region
```

Para resolver estos errores, haz lo siguiente:

Asegúrate de que la ubicación que especificas en el comando sea una ubicación de bucket de observabilidad compatible.

Falla un comando para borrar la ubicación de almacenamiento predeterminada

Emites un comando updateSettings para un recurso con el valor de la ubicación de almacenamiento predeterminada establecido en una cadena vacía. El comando falla con un código de error 403 (INVALID_REQUEST). El mensaje de error es similar a uno de los siguientes:

Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.

The default storage location may not be removed from an organization's Settings.

Se prevé que esto suceda.

Después de establecer una ubicación de almacenamiento predeterminada para un recurso, puedes cambiar el valor, pero no puedes borrarlo ni anularlo, a menos que se especifique la ubicación de almacenamiento predeterminada para un elemento superior en la jerarquía de recursos. No puedes borrar ni anular la ubicación de almacenamiento predeterminada de una organización porque no tiene organizaciones superiores.

La ubicación de un bucket de observabilidad entra en conflicto con una política de la organización

Observas que las ubicaciones de algunos buckets de observabilidad entran en conflicto con las ubicaciones permitidas que especifica una política de la organización.

No representa un error.

Los buckets de observabilidad no respetan las políticas de la organización que restringen la ubicación.

Problemas relacionados con la CMEK

En esta sección, se enumeran los problemas comunes relacionados con el uso de la CMEK.

¿Cómo puedo encontrar la configuración de CMEK para un bucket de observabilidad?

Para determinar si un bucket de observabilidad usa CMEK, puedes listar tus buckets de observabilidad.

Los datos de respuesta incluyen información sobre la clave de Cloud KMS, su versión y la cuenta de servicio que se usó para acceder a la clave.

Cómo resolver errores de configuración de CMEK

Después de configurar la CMEK para un recurso y una ubicación, recibirás una notificación por correo electrónico de Google Cloud Observability sobre problemas de acceso a la CMEK o notarás errores de lectura o escritura en los buckets de observabilidad con la CMEK habilitada. El correo electrónico, que se envía a los contactos esenciales, contiene información como la siguiente:

Nombre de la clave de Cloud KMS.
Es la versión de la clave de Cloud KMS.
Nombre de la cuenta de servicio que se usa para la encriptación y desencriptación.
Es el código de error que observa Google Cloud Observability cuando se encriptan o desencriptan datos.
El mensaje de error que se ve cuando se encriptan o desencriptan datos

La notificación proporciona información sobre la falla y enumera las acciones que puedes realizar para mitigar el problema:

Error	Recomendación
Se denegó el permiso para usar claves criptográficas	La cuenta de servicio del recurso no tiene los permisos de IAM suficientes para operar en la clave de Cloud KMS especificada. Para resolver este error, sigue las instrucciones que se indican en el mensaje. La siguiente información puede resultarte útil: Verifica que la cuenta de servicio tenga el rol necesario Otorga acceso a una clave a una cuenta de servicio
La clave criptográfica está inhabilitada	Se inhabilitó la clave de Cloud KMS especificada. Sigue las instrucciones del error para volver a habilitar la clave. La siguiente información puede resultarte útil: Verifica que una clave de Cloud KMS se pueda usar Otorga acceso a una clave a una cuenta de servicio
Se destruyó la clave criptográfica	Se destruyó la clave de Cloud KMS especificada. Sigue las instrucciones o consulta Administra tu clave de Cloud KMS para un recurso.

Error

Recomendación

Se denegó el permiso para usar claves criptográficas

La cuenta de servicio del recurso no tiene los permisos de IAM suficientes para operar en la clave de Cloud KMS especificada. Para resolver este error, sigue las instrucciones que se indican en el mensaje. La siguiente información puede resultarte útil:

La clave criptográfica está inhabilitada

Se inhabilitó la clave de Cloud KMS especificada. Sigue las instrucciones del error para volver a habilitar la clave. La siguiente información puede resultarte útil:

Se destruyó la clave criptográfica

Se destruyó la clave de Cloud KMS especificada. Sigue las instrucciones o consulta Administra tu clave de Cloud KMS para un recurso.

Falla el aprovisionamiento de un bucket de observabilidad

Eres un contacto esencial o propietario de un recurso, y recibes una notificación por correo electrónico de Google Cloud Observability sobre una falla de aprovisionamiento.

El aprovisionamiento de un bucket de observabilidad puede fallar debido a un error de configuración o a un error interno:

Cuando la provisión falla debido a un error interno, no es necesario que tomes medidas. El sistema se recupera automáticamente de estas fallas reintentando el comando de creación hasta que se complete correctamente.
Cuando el aprovisionamiento falla debido a un error de configuración, debes corregirlo. Si los datos proporcionados siguen llegando, el sistema emitirá automáticamente al menos un comando de creación de bucket de observabilidad por día. Los errores de configuración incluyen los siguientes:
- No se puede usar una clave de Cloud KMS.
- A una cuenta de servicio le falta un rol obligatorio.

En el resto de esta sección, se describe cómo investigar problemas de configuración comunes.

Revisa las ubicaciones de almacenamiento predeterminadas de tus recursos

Revisa y, si es necesario, actualiza la configuración predeterminada de los buckets de observabilidad para la organización, la carpeta o el proyecto con una ubicación de almacenamiento predeterminada.

Para obtener más información, consulta Cómo ver la configuración predeterminada de los buckets de observabilidad.

Verifica que una clave de Cloud KMS se pueda usar

Para determinar si una clave de Cloud KMS se puede usar, ejecuta gcloud kms keys list:

gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

Antes de ejecutar el comando anterior, realiza los siguientes reemplazos:

LOCATION_ID: Es la ubicación de tu clave de Cloud KMS.
KMS_KEY_RING: Es el nombre del llavero de claves de Cloud KMS.

El comando anterior muestra información sobre cada clave en la ubicación especificada. En el caso de tu clave de Cloud KMS, asegúrate de que se cumplan las siguientes condiciones:

La clave de Cloud KMS aparece en la tabla.
La columna STATUS enumera ENABLED.
La columna PURPOSE enumera ENCRYPT_DECRYPT. Este parámetro de configuración indica que el propósito de la clave es la encriptación simétrica:

Si es necesario, crea una clave de Cloud KMS nueva y actualiza la configuración predeterminada de los buckets de observabilidad para el recurso y la ubicación asociados.

Verifica que la cuenta de servicio tenga el rol requerido

Verifica que se haya otorgado a la cuenta de servicio del recurso el rol de Encriptador/Desencriptador de CryptoKey de Cloud KMS para la clave de Cloud KMS que aparece como parte de la configuración predeterminada de los buckets de observabilidad del recurso.

Para determinar las vinculaciones de una clave de Cloud KMS, ejecuta el siguiente comando:

gcloud kms keys get-iam-policy KMS_KEY_NAME

Si es necesario, otorga a la cuenta de servicio del recurso el rol Encriptador/Desencriptador de CryptoKey de Cloud KMS para la clave. Para obtener más información, consulta Otorga acceso a una clave a la cuenta de servicio.