このドキュメントでは、オブザーバビリティ バケットに関連する可能性のある障害を解決する方法について説明します。たとえば、このページでは、オブザーバビリティ バケットのデフォルト設定の構成に関連する問題を解決する方法について説明します。これらのデフォルト設定は、組織、フォルダ、プロジェクトなどのリソースに対して構成します。これにより、次の操作が可能になります。
- オブザーバビリティ バケットのデフォルトのストレージ ロケーションを構成します。
- データを保存するロケーションごとに、顧客管理の暗号鍵(CMEK)の使用を構成できます。
リソース階層内の子孫は、デフォルト設定を構成した子孫を除き、これらの設定を自動的に使用します。
トレースデータが表示されない
[Trace エクスプローラ] ページにデータが表示されるはずなのに、データが表示されない。
トレースデータは、_Trace という名前のオブザーバビリティ バケットに保存されます。トレースデータが表示されない理由はいくつかあります。このエラーを解決する方法については、[Trace エクスプローラ] ページにデータが表示されないをご覧ください。
保存場所に関する問題
このセクションでは、オブザーバビリティ バケットのデフォルト設定のフィールドであるデフォルトの保存場所の設定またはクリアに関連する一般的な問題を示します。
リソースのデフォルトのストレージ ロケーションの設定が失敗する
リソースのデフォルトのストレージ ロケーションを設定しようとすると、コマンドが失敗します。
オブザーバビリティ バケットでサポートされていないロケーションを設定しようとすると、
400 (Bad Request)エラーコードで失敗します。次のようなエラー メッセージが表示されます。Unsupported default storage location: my-region組織のポリシーで許可されていない値にロケーションを設定しようとすると、
400 (Bad Request)エラーコードで失敗します。次のようなエラー メッセージが表示されます。Constraint `constraints/gcp.resourceLocations` violated for `folders/12345` attempting to change `folders/12345/locations/global/settings` with location `invalid`. The location must be in the allowed location list configured by the organization policy administrator.
これらのエラーを解決するには、次の操作を行います。
コマンドで指定するロケーションが、サポートされているオブザーバビリティ バケットのロケーションであることを確認します。
組織のポリシーを確認して、これらのポリシーで位置情報が許可されていることを確認します。
デフォルトのストレージ ロケーションをクリアするコマンドが失敗する
デフォルトのストレージ ロケーションの値が空の文字列に設定されているリソースに対して updateSettings コマンドを発行します。コマンドは失敗し、400 (Bad Request) エラーコードが返されます。次のようなエラー メッセージが表示されます。
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
または
The default storage location may not be removed from an organization's Settings.
これは想定された動作です。
リソースのデフォルトのストレージ ロケーションを設定した後、値を変更することはできますが、リソース階層内の祖先に対してデフォルトのストレージ ロケーションが指定されていない限り、値をクリアまたは設定解除することはできません。組織には祖先がないため、組織のデフォルトのストレージ ロケーションをクリアまたは設定解除することはできません。
オブザーバビリティ バケットのロケーションが組織のポリシーと競合している
一部のオブザーバビリティ バケットのロケーションが、組織のポリシーで指定された許可されたロケーションと競合していることに気づきます。
これはエラーではありません。
ロケーションを制限する組織のポリシーは、オブザーバビリティ バケットでは適用されません。
オブザーバビリティ バケットのロケーションが組織のポリシーで許可されていないロケーションにある理由はいくつかあります。
オブザーバビリティ バケットは、ロケーションを制限する組織のポリシーの適用が開始された 2026 年 6 月 1 日より前に作成されています。
オブザーバビリティ バケットの作成後に組織のポリシーが変更された。
CMEK に関連する問題
このセクションでは、CMEK の使用に関連する一般的な問題について説明します。
デフォルトの Cloud KMS 鍵をクリアするコマンドが失敗する
デフォルトの Cloud KMS 鍵の値が空の文字列に設定されているリソースとロケーションに対して updateSettings コマンドを発行します。コマンドは 400 (Bad Request) エラーコードで失敗します。次のようなエラー メッセージが表示されます。
The default KMS key cannot be empty because you have an organization policy that requires CMEK and because no ancestor defines a default KMS key.
または
The default KMS key cannot be empty because you have an organization policy that requires CMEK.
これは想定された動作です。
CMEK の使用を必須とする組織のポリシーがあり、リソースとロケーションのデフォルトの Cloud KMS 鍵を設定している場合、リソースの祖先に適切なデフォルトの鍵がない限り、その鍵を削除することはできません。組織には祖先がないため、組織のデフォルト設定からデフォルトの Cloud KMS 鍵を削除することはできません。
オブザーバビリティ バケットで使用されているキーを確認するにはどうすればよいですか?
オブザーバビリティ バケットに使用される暗号鍵に関する情報を取得するには、オブザーバビリティ バケットを一覧表示します。
レスポンス データには、Cloud KMS 鍵、そのバージョン、鍵へのアクセスに使用されるサービス アカウントに関する情報が含まれます。
キー構成エラーを解決するにはどうすればよいですか?
リソースとロケーションのデフォルトの Cloud KMS 鍵を構成した後、Google Cloud Observability からアクセスに関する問題についてのメール通知が届くか、CMEK が有効になっているオブザーバビリティ バケットから読み取りまたは書き込みエラーが発生します。重要な連絡先に送信されるメールには、次のような情報が含まれています。
- Cloud KMS 鍵の名前。
- Cloud KMS 鍵バージョン。
- 暗号化と復号に使用されるサービス アカウントの名前。
- データの暗号化または復号時に Google Cloud Observability で確認されたエラーコード。
- データの暗号化または復号化時に表示されるエラー メッセージ
通知には失敗に関する情報と、問題を軽減するための手順が記載されています。
| エラー | 推奨 |
|---|---|
| 暗号鍵に対するアクセスが拒否された | リソースのサービス アカウントに、指定した Cloud KMS 鍵を操作するための十分な IAM 権限がありません。このエラーを解決するには、エラーに記載されている手順に沿って操作します。以下の情報が参考になる場合があります。 |
| 暗号鍵が無効になっている | 指定された Cloud KMS 鍵は無効になりました。エラーの指示に従って鍵を再度有効にしてください。以下の情報が参考になる場合があります。 |
| 暗号鍵が破棄された | 指定された Cloud KMS 鍵が破棄されました。手順に沿って操作するか、リソースの Cloud KMS 鍵を管理するをご覧ください。 |
オブザーバビリティ バケットのプロビジョニングが失敗する
重要な連絡先またはリソースのオーナーであり、プロビジョニングの失敗に関するメール通知が Google Cloud Observability から届いた。
構成エラーまたは内部エラーにより、オブザーバビリティ バケットのプロビジョニングが失敗することがあります。
内部エラーが原因でプロビジョニングが失敗した場合は、対応は不要です。システムは、作成コマンドが成功するまで再試行することで、これらの障害から自動的に復旧します。
構成エラーが原因でプロビジョニングが失敗した場合は、エラーを修正する必要があります。データが継続的に提供される場合、システムは 1 日に 1 つ以上のオブザーバビリティ バケット作成コマンドを自動的に発行します。構成エラーには次のものがあります。
このセクションの残りの部分では、一般的な構成の問題を調査する方法について説明します。
ロケーションを制限する組織のポリシーを確認する
制約 ID constraints/gcp.resourceLocations を使用して、組織のポリシーで指定された許可されたロケーションを確認します。このポリシーは、新しいリソースを作成できる一連のロケーションを定義します。
許可されたロケーションのリストに、少なくとも 1 つのサポートされているオブザーバビリティ バケットのロケーションが含まれていることを確認します。デフォルトのストレージ ロケーションが許可されていないロケーションの場合、プロビジョニングは失敗します。
詳細については、組織のポリシーの表示をご覧ください。
リソースのデフォルトのストレージ ロケーションを確認する
デフォルトのストレージのロケーションを持つ組織、フォルダ、またはプロジェクトのオブザーバビリティ バケットのデフォルト設定を確認し、必要に応じて更新します。
詳細については、オブザーバビリティ バケットのデフォルト設定を表示するをご覧ください。
CMEK を必須とする組織のポリシーを確認する
CMEK を管理する制約は 2 つあります。1 つの制約は、暗号化に使用できる Cloud KMS 鍵を制限します。もう 1 つの制約では、Cloud KMS 鍵の使用が求められます。
制限ポリシー
制約 ID constraints/gcp.restrictCmekCryptoKeyProjects を使用してポリシーを構成したかどうかを確認します。
デフォルトの Cloud KMS 鍵がある場合は、組織ポリシーで許可されていることを確認してください。
必須ポリシー
制約 ID constraints/gcp.restrictNonCmekServices を使用して Deny ポリシーを構成しているかどうかを確認します。
その場合は、デフォルトのストレージ ロケーションにデフォルトの Cloud KMS 鍵が定義されていることを確認してください。使用できる鍵を制限するポリシーも構成している場合は、デフォルトの Cloud KMS 鍵が許可されていることを確認してください。
たとえば、ポリシーが組織レベルで適用される場合は、組織のオブザーバビリティ バケットのデフォルト設定を、デフォルトのストレージ ロケーションと、そのロケーションのデフォルトの Cloud KMS 鍵を使用して構成していることを確認します。
CMEK が必要であるにもかかわらず、データの暗号化または復号に使用する鍵が利用できない場合、Google Cloud Observability はオブザーバビリティ バケットをプロビジョニングできません。
Cloud KMS 鍵が使用可能であることを確認する
Cloud KMS 鍵が使用可能かどうかを確認するには、gcloud kms keys list を実行します。
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
前のコマンドを実行する前に、次のように置き換えます。
- LOCATION_ID: Cloud KMS 鍵のロケーション。
- KMS_KEY_RING: Cloud KMS キーリングの名前。
上記のコマンドは、指定されたロケーションにある各鍵に関する情報を返します。Cloud KMS 鍵については、次のことを確認してください。
- Cloud KMS 鍵が表に表示されます。
STATUS列にはENABLEDが表示されます。PURPOSE列にはENCRYPT_DECRYPTが表示されます。この設定は、鍵の目的が対称暗号化であることを示します。
必要に応じて、新しい Cloud KMS 鍵を作成し、関連付けられたリソースとロケーションのオブザーバビリティ バケットのデフォルト設定を更新します。
サービス アカウントに必要なロールがあることを確認する
リソースのサービス アカウントに、リソースのオブザーバビリティ バケットのデフォルト設定の一部としてリストされている Cloud KMS 鍵に対する Cloud KMS CryptoKey の暗号化/復号ロールが付与されていることを確認します。
Cloud KMS 鍵のバインディングを確認するには、次のコマンドを実行します。
gcloud kms keys get-iam-policy KMS_KEY_NAME
必要に応じて、リソースのサービス アカウントに、鍵に対する Cloud KMS CryptoKey の暗号化/復号ロールを付与します。詳細については、サービス アカウントにキーへのアクセス権を付与するをご覧ください。