관측 가능성 버킷 문제 해결

이 문서에서는 Observability 버킷과 관련이 있을 수 있는 오류를 해결하는 방법을 설명합니다. 예를 들어 이 페이지에서는 Observability 버킷의 기본 설정을 구성하는 것과 관련된 문제를 해결하는 방법을 설명합니다. 조직, 폴더 또는 프로젝트일 수 있는 리소스에 대해 이러한 기본 설정을 구성하면 다음 작업을 수행할 수 있습니다.

  • Observability 버킷의 기본 스토리지 위치를 구성합니다.
  • 데이터를 저장할 위치마다 고객 관리 암호화 키 (CMEK) 사용을 구성할 수 있습니다.

리소스 계층 구조의 하위 항목은 기본 설정을 구성한 하위 항목을 제외하고 이러한 설정을 자동으로 사용합니다.

trace 데이터가 표시되지 않음

Trace 탐색기 페이지에 데이터가 표시될 것으로 예상되지만 데이터가 없습니다.

trace 데이터는 _Trace라는 Observability 버킷에 저장됩니다. trace 데이터가 표시되지 않는 데는 여러 가지 이유가 있습니다. 이 오류를 해결하는 방법을 알아보려면 다음을 참조하세요. Trace 탐색기 페이지에 데이터가 없습니다.

이 섹션에는 Observability 버킷의 기본 설정에 있는 필드인 기본 스토리지 위치를 설정하거나 지우는 것과 관련된 일반적인 문제가 나와 있습니다.

리소스의 기본 스토리지 위치를 설정하지 못함

리소스의 기본 스토리지 위치를 설정하려고 하지만 리소스의 명령어가 실패합니다.

  • Observability 버킷에서 지원하지 않는 위치를 설정하려고 하면 400 (Bad Request) 오류 코드가 표시되며 실패합니다. 실패 메시지는 다음과 유사합니다.

    Unsupported default storage location: my-region
    
  • 조직 정책에서 허용하지 않는 값으로 위치를 설정하려고 하면 400 (Bad Request) 오류 코드가 표시되며 실패합니다. 실패 메시지는 다음과 유사합니다.

    Constraint `constraints/gcp.resourceLocations` violated for `folders/12345` attempting to change `folders/12345/locations/global/settings` with location `invalid`. The location must be in the allowed location list configured by the organization policy administrator.
    

이러한 오류를 해결하려면 다음 안내를 따르세요.

기본 스토리지 위치를 지우는 명령어가 실패함

기본 스토리지 위치 값이 빈 문자열로 설정된 리소스에 updateSettings 명령어를 실행합니다. 명령어가 400 (Bad Request) 오류 코드가 표시되며 실패합니다. 오류 메시지는 다음 중 하나와 유사합니다.

Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.

또는

The default storage location may not be removed from an organization's Settings.

이는 정상적인 동작입니다.

리소스의 기본 스토리지 위치가 설정된 후에는 값을 변경할 수 있지만 리소스 계층 구조의 상위 항목에 기본 스토리지 위치가 지정되지 않은 한 값을 지우거나 설정 해제할 수 없습니다. 조직에는 상위 항목이 없으므로 조직의 기본 스토리지 위치를 지우거나 설정 해제할 수 없습니다.

Observability 버킷의 위치가 조직 정책과 충돌함

일부 Observability 버킷의 위치가 조직 정책에서 지정한 허용된 위치와 충돌하는 것을 확인합니다.

이는 오류가 아니며,

위치를 제한하는 조직 정책은 Observability 버킷에서 적용되지 않습니다.

Observability 버킷의 위치가 조직 정책에서 허용하지 않는 위치에 있을 수 있는 데는 다음과 같은 여러 가지 이유가 있습니다.

  • Observability 버킷은 위치를 제한하는 조직 정책의 시행이 시작된 날짜인 2026년 6월 1일 이전에 생성되었습니다.

  • Observability 버킷이 생성된 후 조직 정책이 변경되었습니다.

이 섹션에는 CMEK 사용과 관련된 일반적인 문제가 나와 있습니다.

기본 Cloud KMS 키를 지우는 명령어가 실패함

기본 Cloud KMS 키 값이 빈 문자열로 설정된 리소스 및 위치에 updateSettings 명령어를 실행합니다. 명령어가 400 (Bad Request) 오류 코드가 표시되며 실패합니다. 오류 메시지는 다음 중 하나와 유사합니다.

The default KMS key cannot be empty because you have an organization policy that requires CMEK and because no ancestor defines a default KMS key.

또는

The default KMS key cannot be empty because you have an organization policy that requires CMEK.

이는 정상적인 동작입니다.

CMEK 사용이 필요한 조직 정책이 있고 리소스 및 위치에 기본 Cloud KMS 키를 설정한 경우 리소스의 상위 항목에 적절한 기본 키가 없는 한 해당 키를 삭제할 수 없습니다. 조직에는 상위 항목이 없으므로 조직의 기본 설정에서 기본 Cloud KMS 키를 삭제할 수 없습니다.

Observability 버킷에서 사용되는 키를 어떻게 찾을 수 있나요?

Observability 버킷에 사용되는 암호화 키에 대한 정보를 가져오려면 Observability 버킷을 나열합니다.

응답 데이터에는 Cloud KMS 키, 버전, 키에 액세스하는 데 사용되는 서비스 계정에 대한 정보가 포함됩니다.

키 구성 오류를 해결하려면 어떻게 해야 하나요?

리소스 및 위치에 기본 Cloud KMS 키를 구성한 후 Google Cloud Observability에서 액세스 문제에 대한 이메일 알림을 받거나 CMEK가 사용 설정된 Observability 버킷에서 읽기 또는 쓰기 오류가 발생하는 것을 확인합니다. 필수 연락처로 전송되는 이메일에는 다음과 같은 정보가 포함됩니다.

  • Cloud KMS 키 이름
  • Cloud KMS 키 버전
  • 암호화 및 복호화에 사용되는 서비스 계정의 이름
  • 데이터를 암호화하거나 복호화할 때 Google Cloud Observability에서 표시되는 오류 코드
  • 데이터를 암호화하거나 복호화할 때 표시되는 오류 메시지

알림은 오류에 대한 정보를 제공하고 문제를 완화하기 위해 취할 수 있는 작업을 나열합니다.

오류 권장사항
암호화 키 권한이 거부되었습니다.

리소스의 서비스 계정에 지정된 Cloud KMS 키로 작업을 수행하기 위한 IAM 권한이 부족합니다. 이 오류를 해결하려면 오류의 안내를 따르세요. 다음 정보가 도움이 될 수 있습니다.

암호화 키가 사용 중지되었습니다.

지정된 Cloud KMS 키가 사용 중지되었습니다. 오류의 안내에 따라 키를 다시 사용 설정합니다. 다음 정보가 도움이 될 수 있습니다.

암호화 키가 폐기되었습니다. 지정된 Cloud KMS 키가 폐기되었습니다. 안내를 따르거나 리소스의 Cloud KMS 키 관리를 참조하세요.

Observability 버킷 프로비저닝 실패

리소스의 필수 연락처 또는 소유자이며 프로비저닝 실패에 대한 Google Cloud Observability의 이메일 알림을 받습니다.

구성 오류 또는 내부 오류로 인해 Observability 버킷 프로비저닝이 실패할 수 있습니다.

이 섹션의 나머지 부분에서는 일반적인 구성 문제를 조사하는 방법을 설명합니다.

위치를 제한하는 조직 정책 검토

제약 조건 ID constraints/gcp.resourceLocations가 있는 조직 정책에서 지정한 허용된 위치를 검토합니다. 이 정책은 새 리소스를 만들 수 있는 위치 집합을 정의합니다.

허용된 위치 목록에 지원되는 Observability 버킷 위치가 하나 이상 포함되어 있는지 확인합니다. 기본 스토리지 위치가 허용된 위치가 아니면 프로비저닝이 실패합니다.

자세한 내용은 조직 정책 보기를 참조하세요.

리소스의 기본 스토리지 위치 검토

기본 스토리지 위치가 있는 조직, 폴더 또는 프로젝트의 Observability 버킷에 대한 기본 설정을 검토하고 필요한 경우 업데이트합니다.

자세한 내용은 Observability 버킷의 기본 설정 보기를 참조하세요.

CMEK가 필요한 조직 정책 검토

CMEK를 관리하는 두 가지 제약 조건이 있습니다. 한 제약 조건은 암호화에 사용할 수 있는 Cloud KMS 키를 제한합니다. 다른 제약 조건은 Cloud KMS 키를 사용해야 합니다.

정책 제한

제약 조건 ID constraints/gcp.restrictCmekCryptoKeyProjects로 정책을 구성했는지 확인합니다.

구성한 경우 기본 Cloud KMS 키가 조직 정책에서 허용되는지 확인합니다.

정책 필요

제약 조건 ID constraints/gcp.restrictNonCmekServicesDeny 정책을 구성했는지 확인합니다.

구성한 경우 기본 스토리지 위치에 기본 Cloud KMS 키가 정의되어 있는지 확인합니다. 사용할 수 있는 키를 제한하는 정책도 구성한 경우 기본 Cloud KMS 키가 허용되는지 확인합니다.

예를 들어 정책이 조직 수준에서 적용되는 경우 기본 스토리지 위치와 해당 위치의 기본 Cloud KMS 키를 사용하여 조직의 Observability 버킷에 대한 기본 설정을 구성했는지 확인합니다.

CMEK가 필요하지만 해당 데이터를 암호화하거나 복호화할 키를 사용할 수 없는 경우 Google Cloud Observability에서 Observability 버킷을 프로비저닝할 수 없습니다.

Cloud KMS 키를 사용할 수 있는지 확인

Cloud KMS 키를 사용할 수 있는지 확인하려면 gcloud kms keys list를 실행합니다.

gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

이전 명령어를 실행하기 전에 다음을 바꿉니다.

  • LOCATION_ID: Cloud KMS 키의 위치입니다.
  • KMS_KEY_RING: Cloud KMS 키링의 이름

이전 명령어는 지정된 위치에 있는 각 키에 대한 정보를 반환합니다. Cloud KMS 키의 경우 다음이 참인지 확인합니다.

  • Cloud KMS 키가 표에 나열되어 있습니다.
  • STATUS 열에 ENABLED가 나열되어 있습니다.
  • PURPOSE 열에 ENCRYPT_DECRYPT가 나열되어 있습니다. 이 설정은 키의 용도가 대칭 암호화임을 나타냅니다.

필요한 경우 새 Cloud KMS 키를 만들고 연결된 리소스 및 위치의 Observability 버킷에 대한 기본 설정을 업데이트합니다.

서비스 계정에 필요한 역할이 있는지 확인

리소스의 서비스 계정에 리소스의 Observability 버킷에 대한 기본 설정의 일부로 나열된 Cloud KMS 키에 대한 Cloud KMS CryptoKey 암호화/복호화 역할이 부여되었는지 확인합니다.

Cloud KMS 키의 결합을 확인하려면 다음 명령어를 실행합니다.

gcloud kms keys get-iam-policy KMS_KEY_NAME

필요한 경우 리소스의 서비스 계정에 키에 대한 Cloud KMS CryptoKey 암호화/복호화 역할을 부여합니다. 자세한 내용은 서비스 계정에 키 액세스 권한 부여를 참조하세요.