Memecahkan masalah CMEK

Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk melindungi Eventarc. Kunci dibuat dan dikelola melalui Cloud Key Management Service (Cloud KMS). Tabel berikut menjelaskan berbagai masalah CMEK dan cara mengatasinya saat menggunakan Cloud KMS dengan Eventarc.

Masalah yang terjadi saat membuat atau memperbarui resource Eventarc

Masalah CMEK Pesan error Deskripsi
Kunci dinonaktifkan $KEY is not enabled, current state is: DISABLED

Kunci Cloud KMS yang diberikan telah dinonaktifkan untuk resource Eventarc. Peristiwa atau pesan yang terkait dengan resource tidak lagi dilindungi.

Solusi:

  1. Menampilkan kunci yang digunakan untuk channel.
  2. Aktifkan kembali kunci Cloud KMS.
Melebihi kuota Quota exceeded for limit

Batas kuota Anda untuk permintaan Cloud KMS telah tercapai.

Solusi:

  • Batasi jumlah panggilan Cloud KMS.
  • Menambahkan kuota.
Untuk mengetahui informasi selengkapnya, lihat Memantau dan menyesuaikan kuota Cloud KMS.
Wilayah tidak cocok Key region $REGION must match the resource to be protected

Region kunci KMS yang diberikan berbeda dengan region saluran.

Solusi:

Gunakan kunci Cloud KMS dari region yang sama. Perhatikan bahwa untuk channel di multi-region eu, Anda harus melindunginya menggunakan kunci Cloud KMS di multi-region europe. Untuk mengetahui informasi selengkapnya, lihat lokasi Cloud KMS dan lokasi multi-region Eventarc.

Batasan kebijakan organisasi project/PROJECT_ID violated org policy constraint

Eventarc terintegrasi dengan dua batasan kebijakan organisasi berikut untuk membantu memastikan penggunaan CMEK di seluruh organisasi. Setiap resource Eventarc yang ada tidak tunduk pada kebijakan yang ditetapkan setelah resource dibuat; namun, memperbarui resource mungkin gagal.

  • constraints/gcp.restrictNonCmekServices menyebabkan semua permintaan pembuatan resource tanpa kunci Cloud KMS yang ditentukan gagal.

    Solusi:

    Tentukan kunci Cloud KMS untuk resource Eventarc. Untuk mengetahui informasi selengkapnya, lihat Mewajibkan CMEK untuk resource Eventarc baru.

  • constraints/gcp.restrictCmekCryptoKeyProjects membatasi kunci Cloud KMS yang dapat Anda gunakan untuk melindungi resource Eventarc.

    Solusi:

    Gunakan kunci Cloud KMS yang didukung untuk project Eventarc. Untuk informasi selengkapnya, lihat Membatasi kunci Cloud KMS untuk project Eventarc.

Masalah yang terjadi selama pengiriman peristiwa

Masalah CMEK Pesan error Deskripsi
Kunci dinonaktifkan $KEY is not enabled, current state is: DISABLED

Kunci Cloud KMS yang diberikan telah dinonaktifkan untuk resource Eventarc. Peristiwa atau pesan yang terkait dengan resource tidak lagi dilindungi.

Solusi:

  1. Menampilkan kunci yang digunakan untuk channel.
  2. Aktifkan kembali kunci Cloud KMS.
Melebihi kuota Quota exceeded for limit

Batas kuota Anda untuk permintaan Cloud KMS telah tercapai.

Solusi:

  • Batasi jumlah panggilan Cloud KMS.
  • Menambahkan kuota.
Untuk mengetahui informasi selengkapnya, lihat Memantau dan menyesuaikan kuota Cloud KMS.
Error izin Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

Kunci Cloud KMS yang diberikan tidak ada atau izin Identity and Access Management (IAM) tidak dikonfigurasi dengan benar.

Solusi:

Untuk mengatasi masalah yang mungkin Anda alami saat menggunakan kunci yang dikelola secara eksternal melalui Cloud External Key Manager (Cloud EKM), lihat Referensi error Cloud EKM.

Langkah berikutnya