Solucionar problemas

En esta página se explica cómo resolver los problemas que pueden surgir al usar Eventarc Advanced.

Permiso denegado al usar el agente de servicio de Eventarc

Si aparece el siguiente error al intentar crear un recurso avanzado de Eventarc, espera unos minutos (quizá siete) y vuelve a intentar crear el recurso:

Permission denied while using the Eventarc Service Agent. If you recently started to use
Eventarc, it may take a few minutes before all necessary permissions are propagated to the
Service Agent. Otherwise, verify that it has Eventarc Service Agent role.

Un agente de servicio actúa como identidad de un servicio determinado para un proyecto concreto. Google Cloud Para obtener más información, consulta Agentes de servicio y los permisos de gestión de identidades y accesos (IAM) del rol Agente de servicio de Eventarc (roles/eventarc.serviceAgent).

Si sigues teniendo el error anterior después de intentar crear el recurso de nuevo, sigue estos pasos para verificar que el agente de servicio de Eventarc existe en tu proyecto Google Cloud y tiene el rol necesario:

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. En la pestaña Ver por principales, selecciona la casilla Incluir concesiones de roles proporcionadas por Google.

  3. En la lista de principales, busca el agente de servicio de Eventarc, que tiene el siguiente formato:

    service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com

  4. Comprueba que el agente de servicio tenga el rol Agente de servicio de Eventarc. Si el agente de servicio no tiene el rol, concédele el rol.

Errores de HTTP 503 Service Unavailable

Si se produce un error HTTP 503 Service Unavailable en una canalización que enruta mensajes a un destino de Google mediante una dirección DNS (por ejemplo, Cloud Run), asegúrate de que Acceso privado a Google esté habilitado en la subred utilizada en el adjunto de red. De lo contrario, no se podrá resolver la dirección DNS.

Problemas con la CMEK

Puedes usar claves de cifrado gestionadas por el cliente (CMEK) para proteger Eventarc. Las claves se crean y gestionan a través de Cloud Key Management Service (Cloud KMS). En la siguiente tabla se describen diferentes problemas de CMEK y cómo resolverlos al usar Cloud KMS con Eventarc.

Problemas que se producen al crear o actualizar recursos de Eventarc

Problema con la CMEK Mensaje de error Descripción
Clave inhabilitada $KEY is not enabled, current state is: DISABLED

La clave de Cloud KMS proporcionada se ha inhabilitado para un recurso de Eventarc. Los eventos o mensajes asociados al recurso ya no estarán protegidos.

Solución:

  1. Para mostrar la clave utilizada en un recurso, sigue estos pasos:
  2. Vuelve a habilitar la clave de Cloud KMS.
Cuota superada Quota exceeded for limit

Se ha alcanzado el límite de cuota de solicitudes de Cloud KMS.

Solución:

  • Limita el número de llamadas a Cloud KMS.
  • Aumenta la cuota.
Para obtener más información, consulta el artículo sobre cómo monitorizar y ajustar las cuotas de Cloud KMS.
Región no coincidente Key region $REGION must match the resource to be protected

La región de la clave de KMS proporcionada es diferente de la región del canal.

Solución:

Usa una clave de Cloud KMS de la misma región. Ten en cuenta que, en el caso de los canales multirregionales eu, debes protegerlos con una clave de Cloud KMS multirregional europe. Para obtener más información, consulta las ubicaciones de Cloud KMS y las ubicaciones multirregión de Eventarc.

Restricción de política de organización project/PROJECT_ID violated org policy constraint

Eventarc se integra con las dos restricciones de política de organización siguientes para ayudar a garantizar el uso de CMEK en una organización. Los recursos de Eventarc que ya existan no están sujetos a una política que se haya definido después de crear el recurso. Sin embargo, es posible que no se pueda actualizar el recurso.

  • constraints/gcp.restrictNonCmekServices provoca que todas las solicitudes de creación de recursos sin una clave de Cloud KMS especificada fallen.

    Solución:

    Especifica una clave de Cloud KMS para el recurso de Eventarc. Para obtener más información, consulta Requerir CMEKs para los nuevos recursos de Eventarc.

  • constraints/gcp.restrictCmekCryptoKeyProjects restringe las claves de Cloud KMS que puedes usar para proteger un recurso de Eventarc.

    Solución:

    Usa una clave de Cloud KMS admitida de un proyecto, una carpeta o una organización de Eventarc permitidos. Para obtener más información, consulta Restringir claves de Cloud KMS para un proyecto de Eventarc.

Problemas que se producen durante la entrega de eventos

Problema con la CMEK Mensaje de error Descripción
Clave inhabilitada $KEY is not enabled, current state is: DISABLED

La clave de Cloud KMS proporcionada se ha inhabilitado para un recurso de Eventarc. Los eventos o mensajes asociados al recurso ya no estarán protegidos.

Solución:

  1. Para mostrar la clave utilizada en un recurso, sigue estos pasos:
  2. Vuelve a habilitar la clave de Cloud KMS.
Cuota superada Quota exceeded for limit

Se ha alcanzado el límite de cuota de solicitudes de Cloud KMS.

Solución:

  • Limita el número de llamadas a Cloud KMS.
  • Aumenta la cuota.
Para obtener más información, consulta el artículo sobre cómo monitorizar y ajustar las cuotas de Cloud KMS.
Error de permisos Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource $KEY (or it may not exist)

La clave de Cloud KMS proporcionada no existe o el permiso de gestión de identidades y accesos (IAM) no está configurado correctamente.

Solución:

Para resolver los problemas que puedan surgir al usar claves gestionadas de forma externa a través de Cloud External Key Manager (Cloud EKM), consulta la referencia de errores de Cloud EKM.

Siguientes pasos