Memecahkan masalah bucket kemampuan pengamatan

Dokumen ini menjelaskan cara mengatasi kegagalan yang mungkin terkait dengan bucket kemampuan observasi. Misalnya, halaman ini menjelaskan cara menyelesaikan masalah terkait konfigurasi setelan default untuk bucket kemampuan pengamatan. Anda mengonfigurasi setelan default ini untuk resource, yang dapat berupa organisasi, folder, atau project, dan setelan ini memungkinkan Anda melakukan hal berikut:

  • Konfigurasi lokasi penyimpanan default untuk bucket pengamatan Anda.
  • Untuk setiap lokasi tempat Anda memilih untuk menyimpan data, Anda dapat mengonfigurasi penggunaan kunci enkripsi yang dikelola pelanggan (CMEK).

Turunan dalam hierarki resource akan otomatis menggunakan setelan ini, kecuali untuk turunan yang telah Anda konfigurasi setelan defaultnya.

Anda tidak melihat data rekaman aktivitas apa pun

Anda berharap melihat data di halaman Trace Explorer, tetapi tidak ada data.

Data rekaman aktivitas disimpan dalam bucket observabilitas bernama _Trace. Ada beberapa alasan mengapa Anda mungkin tidak melihat data rekaman aktivitas. Untuk mempelajari cara mengatasi kegagalan ini, lihat Tidak ada data di halaman Trace Explorer.

Bagian ini mencantumkan masalah umum terkait penyetelan atau penghapusan lokasi penyimpanan default, yang merupakan kolom di setelan default untuk bucket kemampuan pengamatan.

Menetapkan lokasi penyimpanan default untuk resource gagal

Anda mencoba menetapkan lokasi penyimpanan default untuk resource, tetapi perintah gagal:

  • Upaya untuk menyetel lokasi yang tidak didukung oleh bucket pengamatan akan gagal dengan kode error 400 (Bad Request). Pesan kegagalan mirip dengan yang berikut ini:

    Unsupported default storage location: my-region
    
  • Upaya untuk menyetel lokasi ke nilai yang tidak diizinkan oleh kebijakan organisasi akan gagal dengan kode error 400 (Bad Request). Pesan kegagalan mirip dengan yang berikut ini:

    Constraint `constraints/gcp.resourceLocations` violated for `folders/12345` attempting to change `folders/12345/locations/global/settings` with location `invalid`. The location must be in the allowed location list configured by the organization policy administrator.
    

Untuk mengatasi kegagalan ini, lakukan langkah-langkah berikut:

Perintah untuk menghapus lokasi penyimpanan default gagal

Anda mengeluarkan perintah updateSettings ke resource dengan nilai lokasi penyimpanan default yang ditetapkan ke string kosong. Perintah gagal dengan kode error 400 (Bad Request). Pesan errornya mirip dengan salah satu pesan berikut:

Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.

atau

The default storage location may not be removed from an organization's Settings.

Ini adalah perilaku yang diharapkan.

Setelah lokasi penyimpanan default untuk resource ditetapkan, Anda dapat mengubah nilai, tetapi Anda tidak dapat menghapus atau membatalkan setelan nilai kecuali lokasi penyimpanan default ditentukan untuk ancestor dalam hierarki resource. Anda tidak dapat menghapus atau membatalkan setelan lokasi penyimpanan default untuk organisasi karena organisasi tersebut tidak memiliki induk.

Lokasi bucket pengamatan bertentangan dengan kebijakan organisasi

Anda melihat bahwa lokasi beberapa bucket pengamatan bertentangan dengan lokasi yang diizinkan yang ditentukan oleh kebijakan organisasi.

Ini bukan error.

Kebijakan organisasi yang membatasi lokasi tidak dipatuhi oleh bucket kemampuan pengamatan.

Ada beberapa alasan mengapa lokasi bucket pengamatan mungkin berada di lokasi yang tidak diizinkan oleh kebijakan organisasi:

  • Bucket pengamatan dibuat sebelum 1 Juni 2026, yaitu tanggal saat penegakan kebijakan organisasi yang membatasi lokasi dimulai.

  • Kebijakan organisasi berubah setelah bucket pengamatan dibuat.

Bagian ini mencantumkan masalah umum terkait penggunaan CMEK.

Perintah untuk menghapus kunci Cloud KMS default gagal

Anda mengeluarkan perintah updateSettings ke resource dan lokasi dengan nilai kunci Cloud KMS default yang ditetapkan ke string kosong. Perintah gagal dengan kode error 400 (Bad Request). Pesan errornya mirip dengan salah satu dari berikut ini:

The default KMS key cannot be empty because you have an organization policy that requires CMEK and because no ancestor defines a default KMS key.

atau

The default KMS key cannot be empty because you have an organization policy that requires CMEK.

Ini adalah perilaku yang diharapkan.

Jika Anda memiliki kebijakan organisasi yang mewajibkan penggunaan CMEK dan telah menetapkan kunci Cloud KMS default untuk resource dan lokasi, Anda tidak dapat menghapus kunci tersebut kecuali jika ancestor resource memiliki kunci default yang sesuai. Karena organisasi tidak memiliki induk, Anda tidak dapat menghapus kunci Cloud KMS default dari setelan default organisasi.

Bagaimana cara menemukan kunci yang digunakan oleh bucket observabilitas?

Untuk mendapatkan informasi tentang kunci enkripsi yang digunakan untuk bucket pengamatan, cantumkan bucket pengamatan Anda.

Data respons mencakup informasi tentang kunci Cloud KMS, versinya, dan akun layanan yang digunakan untuk mengakses kunci.

Bagaimana cara mengatasi error konfigurasi utama

Setelah mengonfigurasi kunci Cloud KMS default untuk resource dan lokasi, Anda akan menerima notifikasi email dari Google Cloud Observability tentang masalah akses atau melihat error baca atau tulis dari bucket observability dengan CMEK diaktifkan. Email, yang dikirim ke Kontak penting, berisi informasi seperti berikut:

  • Nama kunci Cloud KMS.
  • Versi kunci Cloud KMS.
  • Nama akun layanan yang digunakan untuk enkripsi dan dekripsi.
  • Kode error yang terlihat oleh Google Cloud Observability saat mengenkripsi atau mendekripsi data.
  • Pesan error yang terlihat saat mengenkripsi atau mendekripsi data

Notifikasi memberikan informasi tentang kegagalan dan mencantumkan tindakan yang dapat Anda lakukan untuk memitigasi masalah:

Error Rekomendasi
Izin kunci kriptografi ditolak

Akun layanan resource tidak memiliki izin IAM yang memadai untuk beroperasi pada kunci Cloud KMS yang ditentukan. Untuk mengatasi kegagalan ini, ikuti petunjuk dalam error. Informasi berikut mungkin berguna bagi Anda:

Kunci kriptografi dinonaktifkan

Kunci Cloud KMS yang ditentukan dinonaktifkan. Ikuti petunjuk dalam error untuk mengaktifkan kembali kunci. Informasi berikut mungkin berguna bagi Anda:

Kunci kriptografi dimusnahkan Kunci Cloud KMS yang ditentukan telah dihancurkan. Ikuti petunjuk atau lihat Mengelola kunci Cloud KMS untuk resource.

Penyediaan gagal untuk bucket kemampuan observasi

Anda adalah kontak penting atau pemilik resource, dan Anda menerima notifikasi email dari Google Cloud Observability tentang kegagalan penyediaan.

Penyediaan bucket pengamatan mungkin gagal karena error konfigurasi atau error internal:

Bagian selanjutnya menjelaskan cara menyelidiki masalah konfigurasi umum.

Meninjau kebijakan organisasi yang membatasi lokasi

Tinjau lokasi yang diizinkan yang ditentukan oleh kebijakan organisasi dengan ID batasan constraints/gcp.resourceLocations. Kebijakan ini menentukan kumpulan lokasi tempat resource baru dapat dibuat.

Pastikan daftar lokasi yang diizinkan menyertakan setidaknya satu lokasi bucket pengamatan yang didukung. Penyediaan gagal jika lokasi penyimpanan default bukan lokasi yang diizinkan.

Untuk mengetahui informasi selengkapnya, lihat Melihat kebijakan organisasi.

Meninjau lokasi penyimpanan default untuk resource Anda

Tinjau, dan jika perlu, perbarui setelan default untuk bucket kemampuan pengamatan untuk organisasi, folder, atau project dengan lokasi penyimpanan default.

Untuk mempelajari lebih lanjut, lihat Melihat setelan default untuk bucket kemampuan pengamatan.

Meninjau kebijakan organisasi yang memerlukan CMEK

Ada dua batasan yang mengatur CMEK. Satu batasan membatasi kunci Cloud KMS yang dapat digunakan untuk enkripsi. Batasan lainnya memerlukan penggunaan kunci Cloud KMS.

Membatasi kebijakan

Tentukan apakah Anda telah mengonfigurasi kebijakan dengan ID batasan constraints/gcp.restrictCmekCryptoKeyProjects.

Jika sudah, pastikan kunci Cloud KMS default Anda diizinkan oleh kebijakan organisasi.

Memerlukan kebijakan

Tentukan apakah Anda telah mengonfigurasi kebijakan Deny dengan ID batasan constraints/gcp.restrictNonCmekServices.

Jika ya, pastikan kunci Cloud KMS default ditentukan untuk lokasi penyimpanan default. Jika Anda juga telah mengonfigurasi kebijakan untuk membatasi kunci yang dapat digunakan, pastikan kunci Cloud KMS default Anda diizinkan.

Misalnya, jika kebijakan Anda berlaku di tingkat organisasi, pastikan Anda mengonfigurasi setelan default untuk bucket kemampuan pengamatan organisasi Anda dengan lokasi penyimpanan default dan, untuk lokasi tersebut, kunci Cloud KMS default.

Google Cloud Observability tidak dapat menyediakan bucket kemampuan observasi jika CMEK diperlukan, tetapi kunci untuk mengenkripsi atau mendekripsi data tersebut tidak tersedia.

Memverifikasi bahwa kunci Cloud KMS dapat digunakan

Untuk menentukan apakah kunci Cloud KMS dapat digunakan, jalankan gcloud kms keys list:

gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

  • LOCATION_ID: Lokasi kunci Cloud KMS Anda.
  • KMS_KEY_RING: Nama key ring Cloud KMS.

Perintah sebelumnya akan menampilkan informasi tentang setiap kunci di lokasi yang ditentukan. Untuk kunci Cloud KMS Anda, pastikan hal berikut benar:

  • Kunci Cloud KMS tercantum dalam tabel.
  • Kolom STATUS mencantumkan ENABLED.
  • Kolom PURPOSE mencantumkan ENCRYPT_DECRYPT. Setelan ini menunjukkan bahwa tujuan kunci adalah enkripsi simetris:

Jika perlu, buat kunci Cloud KMS baru dan perbarui setelan default untuk bucket kemampuan pengamatan bagi resource dan lokasi terkait.

Memverifikasi bahwa akun layanan memiliki peran yang diperlukan

Pastikan akun layanan resource telah diberi peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS untuk kunci Cloud KMS yang tercantum sebagai bagian dari setelan default untuk bucket kemampuan observasi resource.

Untuk menentukan binding kunci Cloud KMS, jalankan perintah berikut:

gcloud kms keys get-iam-policy KMS_KEY_NAME

Jika perlu, berikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS untuk kunci tersebut kepada akun layanan resource. Untuk mempelajari lebih lanjut, lihat Memberikan akses akun layanan ke kunci.