Auf dieser Seite erfahren Sie, wie Sie Probleme bei der Verwendung von Eventarc Advanced beheben.
HTTP-Fehler 503 Service Unavailable
Wenn Sie für eine Pipeline, die Nachrichten über eine DNS-Adresse an ein Google-Ziel weiterleitet (z. B. Cloud Run), einen HTTP-Fehler 503 Service Unavailable erhalten, muss der private Google-Zugriff in dem im Netzwerkanhang verwendeten Subnetz aktiviert sein. Andernfalls kann die DNS-Adresse nicht aufgelöst werden.
CMEK-Probleme
Sie können vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) verwenden, um Eventarc zu schützen.
Die Schlüssel werden über den Cloud Key Management Service (Cloud KMS) erstellt und verwaltet. In der folgenden Tabelle werden verschiedene CMEK-Probleme und deren Behebung bei der Verwendung von Cloud KMS mit Eventarc beschrieben.
Probleme beim Erstellen oder Aktualisieren von Eventarc-Ressourcen
CMEK-Problem
Fehlermeldung
Beschreibung
Deaktivierter Schlüssel
$KEY is not enabled, current state is: DISABLED
Der bereitgestellte Cloud KMS-Schlüssel wurde für eine Eventarc-Ressource deaktiviert. Termine oder Nachrichten, die mit der Ressource verknüpft sind, sind nicht mehr geschützt.
Lösung
So rufen Sie den für eine Ressource verwendeten Schlüssel auf:
Key region $REGION must match the resource to be protected
Die bereitgestellte KMS-Schlüsselregion unterscheidet sich von der Region des Kanals.
Lösung
Verwenden Sie einen Cloud KMS-Schlüssel aus derselben Region.
Hinweis: Kanäle für den multiregionalen Standort eu sollten Sie mit einem Cloud KMS-Schlüssel am multiregionalen Standort europe schützen. Weitere Informationen finden Sie unter Cloud KMS-Standorte und Multiregionale Eventarc-Standorte.
Einschränkung der Organisationsrichtlinie
project/PROJECT_ID violated org policy constraint
Eventarc ist in die folgenden beiden Einschränkungen für Organisationsrichtlinien eingebunden, um die CMEK-Nutzung in einer Organisation zu gewährleisten. Für vorhandene Eventarc-Ressourcen gilt keine Richtlinie, die nach der Erstellung der Ressource festgelegt wird. Das Aktualisieren der Ressource kann jedoch fehlschlagen.
constraints/gcp.restrictNonCmekServices führt dazu, dass alle Anfragen zur Ressourcenerstellung ohne angegebenen Cloud KMS-Schlüssel fehlschlagen.
Mit constraints/gcp.restrictCmekCryptoKeyProjects werden die Cloud KMS-Schlüssel eingeschränkt, die Sie zum Schutz einer Eventarc-Ressource verwenden können.
Lösung
Verwenden Sie einen unterstützten Cloud KMS-Schlüssel aus einem zulässigen Eventarc-Projekt, -Ordner oder einer zulässigen Eventarc-Organisation. Weitere Informationen finden Sie unter Cloud KMS-Schlüssel für ein Eventarc-Projekt einschränken.
Probleme, die bei der Bereitstellung von Events auftreten
CMEK-Problem
Fehlermeldung
Beschreibung
Deaktivierter Schlüssel
$KEY is not enabled, current state is: DISABLED
Der bereitgestellte Cloud KMS-Schlüssel wurde für eine Eventarc-Ressource deaktiviert. Termine oder Nachrichten, die mit der Ressource verknüpft sind, sind nicht mehr geschützt.
Lösung
So rufen Sie den für eine Ressource verwendeten Schlüssel auf:
Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on
resource $KEY (or it may not exist)
Entweder ist der angegebene Cloud KMS-Schlüssel nicht vorhanden oder die IAM-Berechtigung (Identity and Access Management) ist nicht ordnungsgemäß konfiguriert.
Prüfen Sie, ob dem Eventarc-Dienst-Agent die Rolle cloudkms.cryptoKeyEncrypterDecrypter zugewiesen und dem Cloud KMS-Schlüssel als Hauptkonto hinzugefügt wurde.
Weitere Informationen finden Sie unter Dem Eventarc-Dienstkonto Zugriff auf einen Schlüssel gewähren.
Informationen zur Behebung von Problemen, die bei der Verwendung extern verwalteter Schlüssel über Cloud External Key Manager (Cloud EKM) auftreten können, finden Sie in der Cloud EKM-Fehlerreferenz.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-18 (UTC)."],[[["\u003cp\u003eEventarc Advanced is a pre-GA feature, subject to specific terms and with limited support.\u003c/p\u003e\n"],["\u003cp\u003eHTTP \u003ccode\u003e503 Service Unavailable\u003c/code\u003e errors can occur if Private Google Access is not enabled on the subnet when routing messages to Google destinations using a DNS address.\u003c/p\u003e\n"],["\u003cp\u003eCustomer-managed encryption key (CMEK) issues, such as disabled keys, exceeded quotas, mismatched regions, or organization policy constraints, can impact Eventarc resources, and the solutions are detailed.\u003c/p\u003e\n"],["\u003cp\u003eDuring event delivery, CMEK-related issues, like disabled keys, exceeded quotas, or permission errors, can occur, each with specific troubleshooting steps.\u003c/p\u003e\n"],["\u003cp\u003eFor issues with externally managed keys via Cloud External Key Manager (Cloud EKM), refer to the Cloud EKM error reference for guidance.\u003c/p\u003e\n"]]],[],null,["# Troubleshoot issues\n\n[Advanced](/eventarc/advanced/docs/overview)\n\nThis page shows you how to resolve issues that you might encounter when using\nEventarc Advanced.\n\nHTTP `503 Service Unavailable` errors\n-------------------------------------\n\nIf you encounter an HTTP `503 Service Unavailable` error for a pipeline that\nroutes messages to a Google destination using a DNS address---for example,\nCloud Run---make sure that\n[Private Google Access](/vpc/docs/private-google-access) is enabled on the\nsubnet used in the network attachment; otherwise, the DNS address can't be\nresolved.\n\nCMEK issues\n-----------\n\nYou can [use customer-managed encryption keys (CMEK)](/eventarc/advanced/docs/use-cmek) to protect Eventarc. The keys are created and managed through Cloud Key Management Service (Cloud KMS). The following table describes different CMEK issues and how to resolve them when using Cloud KMS with Eventarc.\n\n\u003cbr /\u003e\n\n### Issues that occur when creating or updating Eventarc resources\n\n### Issues that occur during event delivery\n\nTo resolve issues that you might encounter when using externally managed keys\nthrough Cloud External Key Manager (Cloud EKM), see\n[Cloud EKM error reference](/kms/docs/reference/ekm_errors).\n\nWhat's next\n-----------\n\n- [Retry events](/eventarc/advanced/docs/retry-events)\n- [View audit logs](/eventarc/advanced/docs/audit-logs)"]]
