疑難排解

本頁說明如何解決使用 Eventarc Advanced 時可能遇到的問題。

使用 Eventarc 服務代理時權限遭拒

嘗試建立 Eventarc Advanced 資源時,如果遇到下列錯誤,請稍候幾分鐘 (可能需要七分鐘),然後再試一次:

Permission denied while using the Eventarc Service Agent. If you recently started to use
Eventarc, it may take a few minutes before all necessary permissions are propagated to the
Service Agent. Otherwise, verify that it has Eventarc Service Agent role.

服務代理程式會做為特定專案的指定服務身分。 Google Cloud 詳情請參閱「服務代理程式」,並查看 Eventarc 服務代理程式角色 (roles/eventarc.serviceAgent) 的身分與存取權管理 (IAM) 權限。

如果嘗試再次建立資源後,您仍遇到先前的錯誤,請完成下列步驟,確認 Eventarc 服務代理程式存在於 Google Cloud 專案中,且具備必要角色:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往「身分與存取權管理」頁面

  2. 在「依主體檢視」分頁中,選取「包含 Google 提供的角色授權」核取方塊。

  3. 在主體清單中,找出 Eventarc 服務代理程式,其格式如下:

    service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com

  4. 確認服務代理程式是否具備 Eventarc 服務代理程式角色。如果服務代理程式沒有該角色,請授予該角色

HTTP 503 Service Unavailable 錯誤

如果管道使用 DNS 位址將訊息傳送至 Google 目的地 (例如 Cloud Run),但發生 HTTP 503 Service Unavailable 錯誤,請確認網路附件使用的子網路已啟用私人 Google 存取權,否則系統無法解析 DNS 位址。

CMEK 問題

您可以使用客戶自行管理的加密金鑰 (CMEK) 保護 Eventarc。 金鑰是透過 Cloud Key Management Service (Cloud KMS) 建立及管理。下表說明使用 Cloud KMS 和 Eventarc 時,可能會遇到的各種 CMEK 問題及解決方式。

建立或更新 Eventarc 資源時發生問題

CMEK 問題 錯誤訊息 說明
已停用的車鑰 $KEY is not enabled, current state is: DISABLED

您提供的 Cloud KMS 金鑰已停用 Eventarc 資源。與資源相關聯的活動或訊息將不再受到保護。

解決方法:

  1. 顯示資源使用的金鑰:
  2. 重新啟用 Cloud KMS 金鑰
超過配額 Quota exceeded for limit

您已達 Cloud KMS 要求配額上限。

解決方法:

  • 限制 Cloud KMS 呼叫次數。
  • 提高配額。
詳情請參閱「監控及調整 Cloud KMS 配額」。
區域不符 Key region $REGION must match the resource to be protected

提供的 KMS 金鑰區域與管道區域不同。

解決方法:

請改用相同區域的 Cloud KMS 金鑰。請注意,如果是多區域 eu 中的管道,您應使用多區域 europe 中的 Cloud KMS 金鑰加以保護。詳情請參閱 Cloud KMS 位置Eventarc 多區域位置。
機構政策限制 project/PROJECT_ID violated org policy constraint

Eventarc 整合了下列兩項機構政策限制,有助於確保整個機構使用 CMEK。資源建立後設定的政策,不會影響任何現有的 Eventarc 資源;不過,更新資源可能會失敗。

  • constraints/gcp.restrictNonCmekServices 會導致所有未指定 Cloud KMS 金鑰的資源建立要求失敗。

    解決方法:

    為 Eventarc 資源指定 Cloud KMS 金鑰。詳情請參閱「為新的 Eventarc 資源啟用 CMEK」。

  • constraints/gcp.restrictCmekCryptoKeyProjects 限制可用於保護 Eventarc 資源的 Cloud KMS 金鑰。

    解決方法:

    請使用允許的 Eventarc 專案、資料夾或機構中的支援 Cloud KMS 金鑰。詳情請參閱為 Eventarc 專案限制 Cloud KMS 金鑰

活動傳送期間發生的問題

CMEK 問題 錯誤訊息 說明
已停用的車鑰 $KEY is not enabled, current state is: DISABLED

您提供的 Cloud KMS 金鑰已停用 Eventarc 資源。與資源相關聯的活動或訊息將不再受到保護。

解決方法:

  1. 顯示資源使用的金鑰:
  2. 重新啟用 Cloud KMS 金鑰
超過配額 Quota exceeded for limit

您已達 Cloud KMS 要求配額上限。

解決方法:

  • 限制 Cloud KMS 呼叫次數。
  • 提高配額。
詳情請參閱「監控及調整 Cloud KMS 配額」。
權限錯誤 Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

提供的 Cloud KMS 金鑰不存在,或是身分與存取權管理 (IAM) 權限設定不正確。

解決方法:

如要解決透過 Cloud External Key Manager (Cloud EKM) 使用外部代管金鑰時可能發生的問題,請參閱 Cloud EKM 錯誤參考資料

後續步驟