CMEK の問題のトラブルシューティング

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

指定された Cloud KMS 鍵が Eventarc リソースで無効になっています。リソースに関連付けられているイベントやメッセージは保護されなくなります。

解決策:

1. チャネルに使用されている鍵を表示する。
2. Cloud KMS 鍵を再度有効にします。

Cloud KMS リクエストの割り当て上限に達しました。

解決策:

• Cloud KMS の呼び出し数を制限します。
• 割り当てを増やす。

指定された KMS 鍵のリージョンがチャネルのリージョンと異なります。

解決策:

同じリージョンの Cloud KMS 鍵を使用します。マルチリージョン eu のチャネルの場合は、マルチリージョン europe の Cloud KMS 鍵を使用して保護する必要があります。詳細については、Cloud KMS のロケーションと Eventarc マルチリージョンのロケーションをご覧ください。

Eventarc は、組織全体で CMEK が使用されるように、次の 2 つの組織のポリシーの制約と統合されています。既存の Eventarc リソースは、リソースの作成後に設定されたポリシーの対象ではありませんが、リソースの更新が失敗する可能性があります。

• constraints/gcp.restrictNonCmekServices を使用すると、指定された Cloud KMS 鍵を持たないすべてのリソース作成リクエストが失敗します。

  解決策:

  Eventarc リソースの Cloud KMS 鍵を指定します。詳細については、新しい Eventarc リソースに CMEK を必須にするをご覧ください。

• constraints/gcp.restrictCmekCryptoKeyProjects は、Eventarc リソースの保護に使用できる Cloud KMS 鍵を制限します。

  解決策:

  Eventarc プロジェクトにサポートされている Cloud KMS 鍵を使用します。詳細については、Eventarc プロジェクトの Cloud KMS 鍵を制限するをご覧ください。

指定された Cloud KMS 鍵が Eventarc リソースで無効になっています。リソースに関連付けられているイベントやメッセージは保護されなくなります。

解決策:

1. チャネルに使用されている鍵を表示する。
2. Cloud KMS 鍵を再度有効にします。

Cloud KMS リクエストの割り当て上限に達しました。

解決策:

• Cloud KMS の呼び出し数を制限します。
• 割り当てを増やす。

指定された Cloud KMS 鍵が存在しないか、Identity and Access Management（IAM）権限が適切に構成されていません。

解決策:

• Cloud KMS の使用状況を確認します。
  • Google のイベントタイプ
  • サードパーティ チャネル
• Eventarc サービス エージェントに cloudkms.cryptoKeyEncrypterDecrypter ロールが付与され、プリンシパルとして Cloud KMS 鍵に追加されていることを確認します。詳細については、Eventarc サービス アカウントに鍵へのアクセス権を付与するをご覧ください。