Sie können vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden, um Eventarc zu schützen.
Die Schlüssel werden über den Cloud Key Management Service (Cloud KMS) erstellt und verwaltet. In der folgenden Tabelle werden verschiedene CMEK-Probleme und deren Behebung bei der Verwendung von Cloud KMS mit Eventarc beschrieben.
Probleme beim Erstellen oder Aktualisieren von Eventarc-Ressourcen
CMEK-Problem
Fehlermeldung
Beschreibung
Deaktivierter Schlüssel
$KEY is not enabled, current state is: DISABLED
Der bereitgestellte Cloud KMS-Schlüssel wurde für eine Eventarc-Ressource deaktiviert. Termine oder Nachrichten, die mit der Ressource verknüpft sind, sind nicht mehr geschützt.
Key region $REGION must match the resource to be protected
Die bereitgestellte KMS-Schlüsselregion unterscheidet sich von der Region des Kanals.
Lösung
Verwenden Sie einen Cloud KMS-Schlüssel aus derselben Region.
Kanäle für den multiregionalen Standort eu sollten Sie mit einem Cloud KMS-Schlüssel am multiregionalen Standort europe schützen. Weitere Informationen finden Sie unter Cloud KMS-Standorte und Multiregionale Eventarc-Standorte.
Einschränkung der Organisationsrichtlinie
project/PROJECT_ID violated org policy constraint
Eventarc ist in die folgenden zwei Einschränkungen für Organisationsrichtlinien eingebunden, um die CMEK-Nutzung in einer Organisation zu gewährleisten. Vorhandene Eventarc-Ressourcen unterliegen nicht einer Richtlinie, die nach dem Erstellen der Ressource festgelegt wird. Die Aktualisierung der Ressource kann jedoch fehlschlagen.
constraints/gcp.restrictNonCmekServices führt dazu, dass alle Anfragen zur Ressourcenerstellung ohne angegebenen Cloud KMS-Schlüssel fehlschlagen.
Mit constraints/gcp.restrictCmekCryptoKeyProjects können Sie die Cloud KMS-Schlüssel einschränken, mit denen eine Eventarc-Ressource geschützt werden kann.
Der bereitgestellte Cloud KMS-Schlüssel wurde für eine Eventarc-Ressource deaktiviert. Termine oder Nachrichten, die mit der Ressource verknüpft sind, sind nicht mehr geschützt.
Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on
resource $KEY (or it may not exist)
Entweder ist der angegebene Cloud KMS-Schlüssel nicht vorhanden oder die IAM-Berechtigung (Identity and Access Management) ist nicht ordnungsgemäß konfiguriert.
Prüfen Sie, ob dem Eventarc-Dienst-Agent die Rolle cloudkms.cryptoKeyEncrypterDecrypter zugewiesen und dem Cloud KMS-Schlüssel als Hauptkonto hinzugefügt wurde.
Weitere Informationen finden Sie unter Dem Eventarc-Dienstkonto Zugriff auf einen Schlüssel gewähren.
Informationen zur Behebung von Problemen bei der Verwendung extern verwalteter Schlüssel über Cloud External Key Manager (Cloud EKM) finden Sie unter Cloud EKM-Fehlerreferenz.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-04-03 (UTC)."],[[["Eventarc can be protected using customer-managed encryption keys (CMEK) created and managed through Cloud Key Management Service (Cloud KMS)."],["If a Cloud KMS key used with Eventarc is disabled, the associated events or messages are no longer protected, and you need to re-enable the key."],["Exceeding the quota for Cloud KMS requests can occur, and you should either limit the number of calls or increase your quota."],["Using a Cloud KMS key in a different region than the Eventarc resource will result in an error, so ensure the regions match."],["Organization policy constraints can require CMEK usage or restrict the Cloud KMS keys used with Eventarc resources, so ensure compliance."]]],[]]
