Risolvere i problemi relativi ai bucket di osservabilità

Questo documento descrive come risolvere gli errori che potrebbero essere correlati ai bucket di osservabilità. Ad esempio, questa pagina descrive come risolvere i problemi relativi alla configurazione delle impostazioni predefinite per i bucket di osservabilità. Configura queste impostazioni predefinite per una risorsa, che può essere un'organizzazione, una cartella o un progetto, e ti consentono di:

Configura una località di archiviazione predefinita per i bucket di osservabilità.
Per ogni località in cui scegli di archiviare i dati, puoi configurare l'utilizzo di chiavi di crittografia gestite dal cliente (CMEK).

I discendenti nella gerarchia delle risorse utilizzano automaticamente queste impostazioni, ad eccezione di quelli per cui hai configurato le impostazioni predefinite.

Non vedi dati di traccia

Ti aspetti di vedere i dati nella pagina Esplora tracce, ma non ce ne sono.

I dati di Trace vengono archiviati in bucket di osservabilità denominati _Trace. Esistono diversi motivi per cui potresti non visualizzare i dati di tracciamento. Per scoprire come risolvere questo errore, vedi Nessun dato nella pagina Esplora tracce.

Problemi relativi alla posizione di archiviazione

Questa sezione elenca i problemi comuni relativi all'impostazione o alla cancellazione della posizione di archiviazione predefinita, che è un campo nelle impostazioni predefinite per i bucket di osservabilità.

L'impostazione della posizione di archiviazione predefinita per una risorsa non va a buon fine

Tenti di impostare la posizione di archiviazione predefinita per una risorsa, ma il comando non va a buon fine:

Un tentativo di impostare una località non supportata dai bucket di osservabilità non riesce e restituisce un codice di errore 400 (INVALID_ARGUMENT). Il messaggio di errore è simile al seguente:
```
Unsupported default storage location: my-region
```

Per risolvere questi errori, segui questi passaggi:

Assicurati che la posizione specificata nel comando sia una posizione del bucket di osservabilità supportata.

Un comando per cancellare la posizione di archiviazione predefinita non va a buon fine

Esegui un comando updateSettings su una risorsa con il valore della posizione di archiviazione predefinita impostato su una stringa vuota. Il comando non va a buon fine e viene restituito un codice di errore 403 (INVALID_REQUEST). Il messaggio di errore è simile a uno dei seguenti:

Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.

The default storage location may not be removed from an organization's Settings.

Questo è un comportamento previsto.

Dopo aver impostato una posizione di archiviazione predefinita per una risorsa, puoi modificare il valore, ma non puoi cancellarlo o annullarlo, a meno che la posizione di archiviazione predefinita non sia specificata per un elemento principale nella gerarchia delle risorse. Non puoi cancellare o annullare l'impostazione della località di archiviazione predefinita per un'organizzazione perché non ha antenati.

La posizione di un bucket di osservabilità è in conflitto con un criterio dell'organizzazione

Noti che le posizioni di alcuni bucket di osservabilità sono in conflitto con le posizioni consentite specificate da un criterio dell'organizzazione.

Non si tratta di un errore.

I criteri dell'organizzazione che limitano la località non vengono rispettati dai bucket di osservabilità.

Problemi relativi a CMEK

Questa sezione elenca i problemi comuni relativi all'utilizzo di CMEK.

Come faccio a trovare le impostazioni CMEK per un bucket di osservabilità?

Per determinare se un bucket di osservabilità utilizza CMEK, puoi elencare i bucket di osservabilità.

I dati di risposta includono informazioni sulla chiave Cloud KMS, sulla relativa versione e sull'account di servizio utilizzato per accedere alla chiave.

Come faccio a risolvere gli errori di configurazione CMEK

Dopo aver configurato CMEK per una risorsa e una località, ricevi una notifica via email da Google Cloud Observability in merito a problemi di accesso CMEK oppure noti errori di lettura o scrittura dai bucket di osservabilità con CMEK abilitata. L'email, inviata ai contatti essenziali, contiene informazioni come:

Nome della chiave Cloud KMS.
Versione chiave Cloud KMS.
Nome del account di servizio utilizzato per la crittografia e la decriptazione.
Il codice di errore visualizzato da Google Cloud Observability durante la crittografia o la decrittografia dei dati.
Il messaggio di errore visualizzato durante la crittografia o la decrittografia dei dati

La notifica fornisce informazioni sull'errore ed elenca le azioni che puoi intraprendere per mitigare il problema:

Errore	Suggerimento
Autorizzazione alla chiave di crittografia negata	Il account di servizio della risorsa non dispone di autorizzazioni IAM sufficienti per operare sulla chiave Cloud KMS specificata. Per risolvere questo errore, segui le istruzioni riportate nel messaggio di errore. Le seguenti informazioni potrebbero esserti utili: Verificare che il account di servizio disponga del ruolo richiesto Concedi l'accesso a una chiave al account di servizio account
Chiave di crittografia disabilitata	La chiave Cloud KMS specificata è stata disattivata. Segui le istruzioni riportate nell'errore per riattivare la chiave. Le seguenti informazioni potrebbero esserti utili: Verificare che una chiave Cloud KMS sia utilizzabile Concedi l'accesso a una chiave al account di servizio account
Chiave di crittografia eliminata	La chiave Cloud KMS specificata è stata eliminata. Segui le istruzioni o consulta Gestire la chiave Cloud KMS per una risorsa.

Errore

Suggerimento

Autorizzazione alla chiave di crittografia negata

Il account di servizio della risorsa non dispone di autorizzazioni IAM sufficienti per operare sulla chiave Cloud KMS specificata. Per risolvere questo errore, segui le istruzioni riportate nel messaggio di errore. Le seguenti informazioni potrebbero esserti utili:

Chiave di crittografia disabilitata

La chiave Cloud KMS specificata è stata disattivata. Segui le istruzioni riportate nell'errore per riattivare la chiave. Le seguenti informazioni potrebbero esserti utili:

Chiave di crittografia eliminata

La chiave Cloud KMS specificata è stata eliminata. Segui le istruzioni o consulta Gestire la chiave Cloud KMS per una risorsa.

Il provisioning non riesce per un bucket osservabilità

Sei un contatto fondamentale o il proprietario di una risorsa e ricevi una notifica via email da Google Cloud Observability relativa a un errore di provisioning.

Il provisioning di un bucket di osservabilità potrebbe non riuscire a causa di un errore di configurazione o di un errore interno:

Quando il provisioning non riesce a causa di un errore interno, non devi intervenire. Il sistema esegue automaticamente il ripristino da questi errori riprovando il comando create finché non ha esito positivo.
Quando il provisioning non va a buon fine a causa di un errore di configurazione, devi correggere l'errore. I dati forniti continuano ad arrivare e il sistema emette automaticamente almeno un comando di creazione del bucket di osservabilità al giorno. Gli errori di configurazione includono:
- Una chiave Cloud KMS non è utilizzabile.
- A account di servizio manca un ruolo obbligatorio.

Il resto di questa sezione descrive come esaminare i problemi di configurazione comuni.

Esaminare le posizioni di archiviazione predefinite per le risorse

Esamina e, se necessario, aggiorna le impostazioni predefinite per i bucket di osservabilità per l'organizzazione, la cartella o il progetto con una località di archiviazione predefinita.

Per saperne di più, consulta Visualizzare le impostazioni predefinite per i bucket di osservabilità.

Verificare che una chiave Cloud KMS sia utilizzabile

Per determinare se una chiave Cloud KMS è utilizzabile, esegui gcloud kms keys list:

gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

Prima di eseguire il comando precedente, effettua le seguenti sostituzioni:

LOCATION_ID: la posizione della chiave Cloud KMS.
KMS_KEY_RING: il nome delle chiavi automatizzate Cloud KMS.

Il comando precedente restituisce informazioni su ogni chiave nella posizione specificata. Per la chiave Cloud KMS, assicurati che siano vere le seguenti condizioni:

La chiave Cloud KMS è elencata nella tabella.
La colonna STATUSElencoENABLED.
La colonna PURPOSEElencoENCRYPT_DECRYPT. Questa impostazione indica che lo scopo della chiave è la crittografia simmetrica:

Se necessario, crea una nuova chiave Cloud KMS e aggiorna le impostazioni predefinite per i bucket di osservabilità per la risorsa e la località associate.

Verificare che il account di servizio disponga del ruolo richiesto

Verifica che all'account di servizio della risorsa sia stato concesso il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per la chiave Cloud KMS elencata nelle impostazioni predefinite per i bucket di osservabilità della risorsa.

Per determinare i binding per una chiave Cloud KMS, esegui questo comando:

gcloud kms keys get-iam-policy KMS_KEY_NAME

Se necessario, concedi all'account di servizio della risorsa il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per la chiave. Per saperne di più, consulta la sezione Concedere l'accesso di un account di servizio a una chiave.