Puedes usar claves de encriptación administradas por el cliente (CMEK)
para proteger Eventarc.
Las claves se crean y administran a través de Cloud Key Management Service (Cloud KMS). En la siguiente tabla, se describen diferentes problemas de CMEK y cómo resolverlos cuando se usa Cloud KMS con Eventarc.
Problemas que ocurren cuando se crean o actualizan recursos de Eventarc
Problema de CMEK
Mensaje de error
Descripción
Clave inhabilitada
$KEY is not enabled, current state is: DISABLED
La clave de Cloud KMS proporcionada se inhabilitó para un
recurso de Eventarc. Los eventos o mensajes asociados con el
el recurso ya no están protegidos.
Key region $REGION must match the resource to be protected
La región de la clave de KMS proporcionada es diferente de la región del
canal.
Solución:
Usa una clave de Cloud KMS de la misma región.
Ten en cuenta que, para los canales en la multirregión eu, debes proteger
los con una clave de Cloud KMS en la multirregión europe. Para
obtener más información, consulta
Ubicaciones de Cloud KMS
y Ubicaciones multirregionales de Eventarc.
Restricción de las políticas de la organización
project/PROJECT_ID violated org policy constraint
Eventarc se integra con las siguientes dos
restricciones de políticas de la organización para ayudar a garantizar el uso de CMEK en una
organización. Ningún recurso de Eventarc existente está sujeto
a una política que se establece después de que se crea el recurso; sin embargo, es posible que no se pueda actualizar
el recurso.
constraints/gcp.restrictNonCmekServices hace que fallen todas las solicitudes de creación de recursos sin una clave especificada de Cloud KMS.
Problemas que ocurren durante la entrega de eventos
Problema de CMEK
Mensaje de error
Descripción
Clave inhabilitada
$KEY is not enabled, current state is: DISABLED
La clave de Cloud KMS proporcionada se inhabilitó para un
recurso de Eventarc. Los eventos o mensajes asociados con el
el recurso ya no están protegidos.
Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on
resource $KEY (or it may not exist)
Es posible que la clave de Cloud KMS proporcionada no exista o que el
permiso de Identity and Access Management (IAM) no esté configurado de forma correcta.
Asegúrate de que se haya otorgado el
cloudkms.cryptoKeyEncrypterDecrypter
rol al agente de servicio de Eventarc y de que se haya agregado como principal a la clave de Cloud KMS.
Para obtener más información, consulta
Otorga a la
cuenta de servicio de Eventarc acceso a una clave.
Para resolver problemas que puedas encontrar cuando uses claves administradas de forma externa
a través de Cloud External Key Manager (Cloud EKM), consulta la
referencia de errores de Cloud EKM.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2026-05-19 (UTC)"],[],[]]
