É possível usar chaves de criptografia gerenciadas pelo cliente (CMEK)
para proteger o Eventarc.
As chaves são criadas e gerenciadas pelo Cloud Key Management Service (Cloud KMS). A
tabela a seguir descreve diferentes problemas de CMEK e como resolvê-los ao
usar o Cloud KMS com o Eventarc.
Problemas que ocorrem ao criar ou atualizar recursos do Eventarc
Problema de CMEK
Mensagem de erro
Descrição
Chave desativada
$KEY is not enabled, current state is: DISABLED
A chave do Cloud KMS fornecida foi desativada para um
recurso do Eventarc. Os eventos ou mensagens associados ao recurso não estão mais protegidos.
Key region $REGION must match the resource to be protected
A região da chave KMS fornecida é diferente da região do
canal.
Solução:
Use uma chave do Cloud KMS da mesma região.
Observação: para canais na multirregião eu, você precisa protegê-la
usando uma chave do Cloud KMS na multirregião europe. Para
mais informações, consulte
Locais do Cloud KMS
e locais
multirregionais do Eventarc.
Restrição da política da organização
project/PROJECT_ID violated org policy constraint
O Eventarc está integrado às duas restrições de política da organização a seguir para ajudar a garantir o uso da CMEK em uma organização. Nenhum recurso do Eventarc está sujeito a uma política definida após a criação do recurso. No entanto, a atualização do recurso pode falhar.
constraints/gcp.restrictNonCmekServices faz com que todas as solicitações de criação de recursos sem uma chave especificada do Cloud KMS falhem.
Verifique se o agente de serviço do Eventarc recebeu o papel
cloudkms.cryptoKeyEncrypterDecrypter
e foi adicionado como principal à chave do Cloud KMS.
Para mais informações, consulte
Conceder acesso a conta de serviço do Eventarc a uma chave.
Para resolver problemas que podem ser encontrados ao usar chaves gerenciadas externamente
por meio do Cloud External Key Manager (Cloud EKM), consulte a
Referência de erros do Cloud EKM.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-04 UTC."],[[["Eventarc can be protected using customer-managed encryption keys (CMEK) created and managed through Cloud Key Management Service (Cloud KMS)."],["If a Cloud KMS key used with Eventarc is disabled, the associated events or messages are no longer protected, and you need to re-enable the key."],["Exceeding the quota for Cloud KMS requests can occur, and you should either limit the number of calls or increase your quota."],["Using a Cloud KMS key in a different region than the Eventarc resource will result in an error, so ensure the regions match."],["Organization policy constraints can require CMEK usage or restrict the Cloud KMS keys used with Eventarc resources, so ensure compliance."]]],[]]
