En esta página, se muestra cómo resolver problemas que podrías encontrar cuando uses Eventarc Advanced.
Errores de HTTP 503 Service Unavailable
Si encuentras un error HTTP 503 Service Unavailable para una canalización que enruta mensajes a un destino de Google con una dirección DNS (por ejemplo, Cloud Run), asegúrate de que el Acceso privado a Google esté habilitado en la subred que se usa en el adjunto de red; de lo contrario, no se podrá resolver la dirección DNS.
Problemas con la CMEK
Puedes usar claves de encriptación administradas por el cliente (CMEK) para proteger Eventarc.
Las claves se crean y administran a través de Cloud Key Management Service (Cloud KMS). En la siguiente tabla, se describen diferentes problemas relacionados con la CMEK y cómo resolverlos cuando se usa Cloud KMS con Eventarc.
Problemas que ocurren cuando se crean o actualizan recursos de Eventarc
Problema con la CMEK
Mensaje de error
Descripción
Clave inhabilitada
$KEY is not enabled, current state is: DISABLED
Se inhabilitó la clave de Cloud KMS proporcionada para un recurso de Eventarc. Los eventos o mensajes asociados con el recurso ya no están protegidos.
Key region $REGION must match the resource to be protected
La región de la clave de KMS que se proporciona es diferente de la región del
canal.
Solution:
Usa una clave de Cloud KMS de la misma región.
Ten en cuenta que, en el caso de los canales en la multirregión eu, debes protegerlos con una clave de Cloud KMS en la multirregión europe. Para obtener más información, consulta las ubicaciones de Cloud KMS y las ubicaciones multirregionales de Eventarc.
Restricción de las políticas de la organización
project/PROJECT_ID violated org policy constraint
Eventarc se integra con las siguientes dos restricciones de políticas de la organización para ayudar a garantizar el uso de CMEK en una organización. Ningún recurso de Eventarc existente está sujeto
a una política que se establece después de que se crea el recurso. Sin embargo, es posible que falle la actualización
del recurso.
constraints/gcp.restrictNonCmekServices hace que fallen todas las solicitudes de creación de recursos sin una clave especificada de Cloud KMS.
Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on
resource $KEY (or it may not exist)
Es posible que la clave de Cloud KMS proporcionada no exista o que el permiso de Identity and Access Management (IAM) no esté configurado de forma correcta.
Asegúrate de que se haya otorgado el rol cloudkms.cryptoKeyEncrypterDecrypter al agente de servicio de Eventarc y de que se haya agregado como principal a la clave de Cloud KMS.
Para obtener más información, consulta Otorga a la cuenta de servicio de Eventarc acceso a una clave.
Para resolver problemas que puedas encontrar cuando uses claves administradas de forma externa a través de Cloud External Key Manager (Cloud EKM), consulta la referencia de errores de Cloud EKM.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eEventarc Advanced is a pre-GA feature, subject to specific terms and with limited support.\u003c/p\u003e\n"],["\u003cp\u003eHTTP \u003ccode\u003e503 Service Unavailable\u003c/code\u003e errors can occur if Private Google Access is not enabled on the subnet when routing messages to Google destinations using a DNS address.\u003c/p\u003e\n"],["\u003cp\u003eCustomer-managed encryption key (CMEK) issues, such as disabled keys, exceeded quotas, mismatched regions, or organization policy constraints, can impact Eventarc resources, and the solutions are detailed.\u003c/p\u003e\n"],["\u003cp\u003eDuring event delivery, CMEK-related issues, like disabled keys, exceeded quotas, or permission errors, can occur, each with specific troubleshooting steps.\u003c/p\u003e\n"],["\u003cp\u003eFor issues with externally managed keys via Cloud External Key Manager (Cloud EKM), refer to the Cloud EKM error reference for guidance.\u003c/p\u003e\n"]]],[],null,["# Troubleshoot issues\n\n[Advanced](/eventarc/advanced/docs/overview)\n\nThis page shows you how to resolve issues that you might encounter when using\nEventarc Advanced.\n\nHTTP `503 Service Unavailable` errors\n-------------------------------------\n\nIf you encounter an HTTP `503 Service Unavailable` error for a pipeline that\nroutes messages to a Google destination using a DNS address---for example,\nCloud Run---make sure that\n[Private Google Access](/vpc/docs/private-google-access) is enabled on the\nsubnet used in the network attachment; otherwise, the DNS address can't be\nresolved.\n\nCMEK issues\n-----------\n\nYou can [use customer-managed encryption keys (CMEK)](/eventarc/advanced/docs/use-cmek) to protect Eventarc. The keys are created and managed through Cloud Key Management Service (Cloud KMS). The following table describes different CMEK issues and how to resolve them when using Cloud KMS with Eventarc.\n\n\u003cbr /\u003e\n\n### Issues that occur when creating or updating Eventarc resources\n\n### Issues that occur during event delivery\n\nTo resolve issues that you might encounter when using externally managed keys\nthrough Cloud External Key Manager (Cloud EKM), see\n[Cloud EKM error reference](/kms/docs/reference/ekm_errors).\n\nWhat's next\n-----------\n\n- [Retry events](/eventarc/advanced/docs/retry-events)\n- [View audit logs](/eventarc/advanced/docs/audit-logs)"]]
