排解 CMEK 問題

您可以使用客戶自行管理的加密金鑰 (CMEK) 保護 Eventarc。 金鑰會透過 Cloud Key Management Service (Cloud KMS) 建立及管理。下表說明使用 Cloud KMS 和 Eventarc 時,可能會遇到的各種 CMEK 問題及解決方法。

建立或更新 Eventarc 資源時發生問題

CMEK 問題 錯誤訊息 說明
已停用的車鑰 $KEY is not enabled, current state is: DISABLED

您提供的 Cloud KMS 金鑰已停用 Eventarc 資源。與資源相關聯的活動或訊息將不再受到保護。

解決方法:

  1. 顯示頻道使用的金鑰
  2. 重新啟用 Cloud KMS 金鑰
超過配額 Quota exceeded for limit

您已達 Cloud KMS 要求配額上限。

解決方法:

  • 限制 Cloud KMS 呼叫次數。
  • 提高配額。
詳情請參閱「監控及調整 Cloud KMS 配額」。
區域不符 Key region $REGION must match the resource to be protected

提供的 KMS 金鑰區域與管道區域不同。

解決方法:

請改用相同區域的 Cloud KMS 金鑰。請注意,如果是多區域 eu 中的管道,您應使用多區域 europe 中的 Cloud KMS 金鑰加以保護。詳情請參閱 Cloud KMS 位置Eventarc 多區域位置。
機構政策限制 project/PROJECT_ID violated org policy constraint

Eventarc 整合了下列兩項機構政策限制,有助於確保整個機構使用 CMEK。資源建立後設定的政策,不會影響任何現有的 Eventarc 資源;不過,更新資源可能會失敗。

  • constraints/gcp.restrictNonCmekServices 會導致所有未指定 Cloud KMS 金鑰的資源建立要求失敗。

    解決方法:

    為 Eventarc 資源指定 Cloud KMS 金鑰。詳情請參閱「為新的 Eventarc 資源啟用 CMEK」。

  • constraints/gcp.restrictCmekCryptoKeyProjects 限制可用於保護 Eventarc 資源的 Cloud KMS 金鑰。

    解決方法:

    為 Eventarc 專案使用支援的 Cloud KMS 金鑰。詳情請參閱為 Eventarc 專案限制 Cloud KMS 金鑰

活動傳送期間發生的問題

CMEK 問題 錯誤訊息 說明
已停用的車鑰 $KEY is not enabled, current state is: DISABLED

您提供的 Cloud KMS 金鑰已停用 Eventarc 資源。與資源相關聯的活動或訊息將不再受到保護。

解決方法:

  1. 顯示頻道使用的金鑰
  2. 重新啟用 Cloud KMS 金鑰
超過配額 Quota exceeded for limit

您已達 Cloud KMS 要求配額上限。

解決方法:

  • 限制 Cloud KMS 呼叫次數。
  • 提高配額。
詳情請參閱「監控及調整 Cloud KMS 配額」。
權限錯誤 Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

提供的 Cloud KMS 金鑰不存在,或是身分與存取權管理 (IAM) 權限設定不正確。

解決方法:

如要解決透過 Cloud External Key Manager (Cloud EKM) 使用外部代管金鑰時可能發生的問題,請參閱 Cloud EKM 錯誤參考資料

後續步驟