Dokumen ini menjelaskan cara mengatasi kegagalan yang mungkin terkait dengan bucket kemampuan observasi. Misalnya, halaman ini menjelaskan cara menyelesaikan masalah terkait konfigurasi setelan default untuk bucket kemampuan pengamatan. Anda mengonfigurasi setelan default ini untuk resource, yang dapat berupa organisasi, folder, atau project, dan setelan ini memungkinkan Anda melakukan hal berikut:
- Konfigurasi lokasi penyimpanan default untuk bucket pengamatan Anda.
- Untuk setiap lokasi tempat Anda memilih untuk menyimpan data, Anda dapat mengonfigurasi penggunaan kunci enkripsi yang dikelola pelanggan (CMEK).
Turunan dalam hierarki resource akan otomatis menggunakan setelan ini, kecuali untuk turunan yang telah Anda konfigurasi setelan defaultnya.
Anda tidak melihat data rekaman aktivitas apa pun
Anda berharap melihat data di halaman Trace Explorer, tetapi tidak ada data.
Data rekaman aktivitas disimpan dalam bucket observabilitas bernama _Trace. Ada beberapa alasan mengapa Anda mungkin tidak melihat data rekaman aktivitas. Untuk mempelajari cara
mengatasi kegagalan ini, lihat
Tidak ada data di halaman Trace Explorer.
Masalah terkait lokasi penyimpanan
Bagian ini mencantumkan masalah umum terkait penyetelan atau penghapusan lokasi penyimpanan default, yang merupakan kolom di setelan default untuk bucket kemampuan pengamatan.
Menetapkan lokasi penyimpanan default untuk resource gagal
Anda mencoba menetapkan lokasi penyimpanan default untuk resource, tetapi perintah gagal:
Upaya untuk menyetel lokasi yang tidak didukung oleh bucket pengamatan akan gagal dengan kode error
400 (Bad Request). Pesan kegagalan mirip dengan yang berikut ini:Unsupported default storage location: my-regionUpaya untuk menyetel lokasi ke nilai yang tidak diizinkan oleh kebijakan organisasi akan gagal dengan kode error
400 (Bad Request). Pesan kegagalan mirip dengan yang berikut ini:Constraint `constraints/gcp.resourceLocations` violated for `folders/12345` attempting to change `folders/12345/locations/global/settings` with location `invalid`. The location must be in the allowed location list configured by the organization policy administrator.
Untuk mengatasi kegagalan ini, lakukan langkah-langkah berikut:
Pastikan lokasi yang Anda tentukan dalam perintah adalah lokasi bucket kemampuan pengamatan yang didukung.
Tinjau kebijakan organisasi Anda untuk memastikan bahwa kebijakan ini mengizinkan lokasi Anda.
Perintah untuk menghapus lokasi penyimpanan default gagal
Anda mengeluarkan perintah updateSettings ke resource dengan nilai
lokasi penyimpanan default yang ditetapkan ke string kosong. Perintah gagal dengan kode error
400 (Bad Request). Pesan errornya mirip dengan salah satu pesan berikut:
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
atau
The default storage location may not be removed from an organization's Settings.
Ini adalah perilaku yang diharapkan.
Setelah lokasi penyimpanan default untuk resource ditetapkan, Anda dapat mengubah nilai, tetapi Anda tidak dapat menghapus atau membatalkan setelan nilai kecuali lokasi penyimpanan default ditentukan untuk ancestor dalam hierarki resource. Anda tidak dapat menghapus atau membatalkan setelan lokasi penyimpanan default untuk organisasi karena organisasi tersebut tidak memiliki induk.
Lokasi bucket pengamatan bertentangan dengan kebijakan organisasi
Anda melihat bahwa lokasi beberapa bucket pengamatan bertentangan dengan lokasi yang diizinkan yang ditentukan oleh kebijakan organisasi.
Ini bukan error.
Kebijakan organisasi yang membatasi lokasi tidak dipatuhi oleh bucket kemampuan pengamatan.
Ada beberapa alasan mengapa lokasi bucket pengamatan mungkin berada di lokasi yang tidak diizinkan oleh kebijakan organisasi:
Bucket pengamatan dibuat sebelum 1 Juni 2026, yaitu tanggal saat penegakan kebijakan organisasi yang membatasi lokasi dimulai.
Kebijakan organisasi berubah setelah bucket pengamatan dibuat.
Masalah terkait CMEK
Bagian ini mencantumkan masalah umum terkait penggunaan CMEK.
Perintah untuk menghapus kunci Cloud KMS default gagal
Anda mengeluarkan perintah updateSettings ke resource dan lokasi dengan nilai
kunci Cloud KMS default yang ditetapkan ke string kosong. Perintah gagal
dengan kode error 400 (Bad Request). Pesan errornya mirip dengan salah satu
dari berikut ini:
The default KMS key cannot be empty because you have an organization policy that requires CMEK and because no ancestor defines a default KMS key.
atau
The default KMS key cannot be empty because you have an organization policy that requires CMEK.
Ini adalah perilaku yang diharapkan.
Jika Anda memiliki kebijakan organisasi yang mewajibkan penggunaan CMEK dan telah menetapkan kunci Cloud KMS default untuk resource dan lokasi, Anda tidak dapat menghapus kunci tersebut kecuali jika ancestor resource memiliki kunci default yang sesuai. Karena organisasi tidak memiliki induk, Anda tidak dapat menghapus kunci Cloud KMS default dari setelan default organisasi.
Bagaimana cara menemukan kunci yang digunakan oleh bucket observabilitas?
Untuk mendapatkan informasi tentang kunci enkripsi yang digunakan untuk bucket pengamatan, cantumkan bucket pengamatan Anda.
Data respons mencakup informasi tentang kunci Cloud KMS, versinya, dan akun layanan yang digunakan untuk mengakses kunci.
Bagaimana cara mengatasi error konfigurasi utama
Setelah mengonfigurasi kunci Cloud KMS default untuk resource dan lokasi, Anda akan menerima notifikasi email dari Google Cloud Observability tentang masalah akses atau melihat error baca atau tulis dari bucket observability dengan CMEK diaktifkan. Email, yang dikirim ke Kontak penting, berisi informasi seperti berikut:
- Nama kunci Cloud KMS.
- Versi kunci Cloud KMS.
- Nama akun layanan yang digunakan untuk enkripsi dan dekripsi.
- Kode error yang terlihat oleh Google Cloud Observability saat mengenkripsi atau mendekripsi data.
- Pesan error yang terlihat saat mengenkripsi atau mendekripsi data
Notifikasi memberikan informasi tentang kegagalan dan mencantumkan tindakan yang dapat Anda lakukan untuk memitigasi masalah:
| Error | Rekomendasi |
|---|---|
| Izin kunci kriptografi ditolak | Akun layanan resource tidak memiliki izin IAM yang memadai untuk beroperasi pada kunci Cloud KMS yang ditentukan. Untuk mengatasi kegagalan ini, ikuti petunjuk dalam error. Informasi berikut mungkin berguna bagi Anda: |
| Kunci kriptografi dinonaktifkan | Kunci Cloud KMS yang ditentukan dinonaktifkan. Ikuti petunjuk dalam error untuk mengaktifkan kembali kunci. Informasi berikut mungkin berguna bagi Anda: |
| Kunci kriptografi dimusnahkan | Kunci Cloud KMS yang ditentukan telah dihancurkan. Ikuti petunjuk atau lihat Mengelola kunci Cloud KMS untuk resource. |
Penyediaan gagal untuk bucket kemampuan observasi
Anda adalah kontak penting atau pemilik resource, dan Anda menerima notifikasi email dari Google Cloud Observability tentang kegagalan penyediaan.
Penyediaan bucket pengamatan mungkin gagal karena error konfigurasi atau error internal:
Jika penyediaan gagal karena error internal, Anda tidak perlu mengambil tindakan. Sistem akan otomatis pulih dari kegagalan ini dengan mencoba lagi perintah pembuatan hingga berhasil.
Jika penyediaan gagal karena error konfigurasi, Anda harus memperbaiki error tersebut. Data yang diberikan terus masuk, sistem akan otomatis mengeluarkan setidaknya satu perintah buat bucket keobservasian per hari. Kesalahan konfigurasi mencakup hal berikut:
- Kebijakan organisasi tidak mengizinkan lokasi bucket kemampuan pengamatan yang didukung.
- Lokasi penyimpanan default bertentangan dengan kebijakan organisasi.
- Kebijakan organisasi yang memerlukan CMEK, tetapi kunci default tidak dikonfigurasi.
- Kunci Cloud KMS tidak dapat digunakan.
- Akun layanan tidak memiliki peran yang diperlukan.
Bagian selanjutnya menjelaskan cara menyelidiki masalah konfigurasi umum.
Meninjau kebijakan organisasi yang membatasi lokasi
Tinjau lokasi yang diizinkan yang ditentukan oleh
kebijakan organisasi dengan ID batasan constraints/gcp.resourceLocations.
Kebijakan ini menentukan kumpulan lokasi tempat resource baru dapat dibuat.
Pastikan daftar lokasi yang diizinkan menyertakan setidaknya satu lokasi bucket pengamatan yang didukung. Penyediaan gagal jika lokasi penyimpanan default bukan lokasi yang diizinkan.
Untuk mengetahui informasi selengkapnya, lihat Melihat kebijakan organisasi.
Meninjau lokasi penyimpanan default untuk resource Anda
Tinjau, dan jika perlu, perbarui setelan default untuk bucket kemampuan pengamatan untuk organisasi, folder, atau project dengan lokasi penyimpanan default.
Untuk mempelajari lebih lanjut, lihat Melihat setelan default untuk bucket kemampuan pengamatan.
Meninjau kebijakan organisasi yang memerlukan CMEK
Ada dua batasan yang mengatur CMEK. Satu batasan membatasi kunci Cloud KMS yang dapat digunakan untuk enkripsi. Batasan lainnya memerlukan penggunaan kunci Cloud KMS.
Membatasi kebijakan
Tentukan apakah Anda telah mengonfigurasi kebijakan dengan ID batasan
constraints/gcp.restrictCmekCryptoKeyProjects.
Jika sudah, pastikan kunci Cloud KMS default Anda diizinkan oleh kebijakan organisasi.
Memerlukan kebijakan
Tentukan apakah Anda telah mengonfigurasi kebijakan Deny dengan
ID batasan constraints/gcp.restrictNonCmekServices.
Jika ya, pastikan kunci Cloud KMS default ditentukan untuk lokasi penyimpanan default. Jika Anda juga telah mengonfigurasi kebijakan untuk membatasi kunci yang dapat digunakan, pastikan kunci Cloud KMS default Anda diizinkan.
Misalnya, jika kebijakan Anda berlaku di tingkat organisasi, pastikan Anda mengonfigurasi setelan default untuk bucket kemampuan pengamatan organisasi Anda dengan lokasi penyimpanan default dan, untuk lokasi tersebut, kunci Cloud KMS default.
Google Cloud Observability tidak dapat menyediakan bucket kemampuan observasi jika CMEK diperlukan, tetapi kunci untuk mengenkripsi atau mendekripsi data tersebut tidak tersedia.
Memverifikasi bahwa kunci Cloud KMS dapat digunakan
Untuk menentukan apakah kunci Cloud KMS dapat digunakan,
jalankan gcloud kms keys list:
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:
- LOCATION_ID: Lokasi kunci Cloud KMS Anda.
- KMS_KEY_RING: Nama key ring Cloud KMS.
Perintah sebelumnya akan menampilkan informasi tentang setiap kunci di lokasi yang ditentukan. Untuk kunci Cloud KMS Anda, pastikan hal berikut benar:
- Kunci Cloud KMS tercantum dalam tabel.
- Kolom
STATUSmencantumkanENABLED. - Kolom
PURPOSEmencantumkanENCRYPT_DECRYPT. Setelan ini menunjukkan bahwa tujuan kunci adalah enkripsi simetris:
Jika perlu, buat kunci Cloud KMS baru dan perbarui setelan default untuk bucket kemampuan pengamatan bagi resource dan lokasi terkait.
Memverifikasi bahwa akun layanan memiliki peran yang diperlukan
Pastikan akun layanan resource telah diberi peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS untuk kunci Cloud KMS yang tercantum sebagai bagian dari setelan default untuk bucket kemampuan observasi resource.
Untuk menentukan binding kunci Cloud KMS, jalankan perintah berikut:
gcloud kms keys get-iam-policy KMS_KEY_NAME
Jika perlu, berikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS untuk kunci tersebut kepada akun layanan resource. Untuk mempelajari lebih lanjut, lihat Memberikan akses akun layanan ke kunci.