בדף הזה מוסבר איך לעבוד עם החיבורים שנוצרים על ידי Sensitive Data Protection כשמגדירים גילוי של Cloud SQL.
איך מוצאים את מזהה סוכן השירות
כדי לבצע את הפעולות שמתוארות בדף הזה, צריך את המזהה של סוכן השירות שמשויך להגדרת הסריקה. כדי לקבל את מזהה נציג השירות:
עוברים לרשימת ההגדרות של סריקת הגילוי.
- בסרגל הכלים, בוחרים את הארגון.
- בוחרים את הגדרת הסריקה.
- בדף Scan configuration details, מעתיקים את הערך של השדה סוכן שירות. המזהה של סוכן השירות הוא בפורמט של כתובת אימייל.
מקצים לסוכן השירות את התפקידים הנדרשים ב-IAM
מוודאים שלסוכן השירות שמשויך להגדרת הסריקה יש את תפקיד ה-Driver הנדרש:
- אם היקף פעולת הגילוי הוא הארגון כולו או תיקייה, צריך לוודא שלסוכן השירות יש את התפקיד 'מנהל פרופילים של נתוני DLP בארגון' (
roles/dlp.orgdriver). - אם היקף פעולת הגילוי הוא פרויקט יחיד, צריך לוודא שלסוכן השירות יש את התפקיד DLP Project Data Profiles Driver (
roles/dlp.projectdriver).
- אם היקף פעולת הגילוי הוא הארגון כולו או תיקייה, צריך לוודא שלסוכן השירות יש את התפקיד 'מנהל פרופילים של נתוני DLP בארגון' (
מקצים לסוכן השירות את התפקיד Secret Manager Secret Accessor (
roles/secretmanager.secretAccessor).
כדי לקבל את מזהה סוכן השירות, אפשר לעיין במאמר איך מקבלים את מזהה סוכן השירות בדף הזה.
מידע נוסף זמין במאמר איך מעניקים תפקידים לסוכני שירות במרכז העזרה בנושא ניהול זהויות והרשאות גישה.
יצירת משתמש לכל מופע של Cloud SQL
לכל מופע שנכלל בהיקף של הגילוי, צריך ליצור חשבון משתמש עם ההרשאות הנדרשות ליצירת פרופיל של הנתונים.
אפשר להשתמש בחשבון משתמש קיים, אבל צריך לוודא שיש לחשבון הזה את ההרשאות שמפורטות בקטע הזה.
יצירת משתמש למכונת Cloud SQL ל-MySQL
בקטע הזה מוסבר איך ליצור חשבון משתמש ב-MySQL לשימוש בפרופיל נתונים. בין אם יוצרים חשבון משתמש חדש או משתמשים בחשבון קיים, בחשבון צריך להיות תוסף אימות caching_sha2_password.
בקטע הזה מוסבר איך לשנות חשבון משתמש קיים במסד נתונים כדי להשתמש בפלאגין האימות הזה.
- מתחברים למכונה.
מכינים את חשבון המשתמש במסד הנתונים.
כדי ליצור משתמש במסד הנתונים, מריצים את הפקודה הבאה בהנחיה
mysql:CREATE USER 'USERNAME'@'%' IDENTIFIED WITH caching_sha2_password BY 'PASSWORD';מחליפים את מה שכתוב בשדות הבאים:
-
USERNAME: שם המשתמש בחשבון המשתמש -
PASSWORD: הסיסמה של חשבון המשתמש
מידע נוסף זמין במאמר CREATE USER Statement בתיעוד של MySQL.
-
אם רוצים להשתמש בחשבון משתמש קיים במסד נתונים שלא משתמש בתוסף האימות
caching_sha2_password, צריך להשתמש בפקודהALTER USERכדי לשנות את תוסף האימות של החשבון הזה:ALTER USER 'USERNAME'@'%' IDENTIFIED WITH caching_sha2_password BY 'PASSWORD';מידע נוסף זמין במאמר הצהרת ALTER USER במסמכי העזרה של MySQL.
מעניקים למשתמש את ההרשאות
SELECTו-SHOW VIEW.GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';הפלט אמור להיראות כך:
Query OK, 0 rows affected (0.00 sec)
מידע נוסף זמין במאמר בנושא הצהרת GRANT במסמכי התיעוד של MySQL.
אופציונלי: אם רוצים ליצור פרופיל של
performance_schema.log_status, צריך להעניק למשתמש את ההרשאהBACKUP_ADMIN. מידע נוסף זמין במאמר MySQL Performance Schema במסמכי התיעוד של MySQL.GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';ב-Secret Manager, יוצרים סוד כדי לאחסן את הסיסמה. יוצרים את הסוד בפרויקט שמכיל את מכונת Cloud SQL.
רושמים בצד את שם המשאב של הסוד.
יצירת משתמש למכונת Cloud SQL ל-PostgreSQL
במכונות של Cloud SQL ל-PostgreSQL, Sensitive Data Protection תומך בשני סוגים של חשבונות משתמשים:
- חשבון משתמש מובנה שנוצר דרך PostgreSQL.
- חשבון משתמש ב-IAM, ספציפית סוכן השירות שמשויך להגדרת הסריקה.
אפשרות 1: יצירת חשבון משתמש מובנה ב-PostgreSQL
בקטע הזה מוסבר איך ליצור חשבון משתמש מובנה באמצעות PostgreSQL.
- מתחברים למכונה.
בשורת הפקודה
postgres, מריצים את הפקודה הבאה כדי ליצור את המשתמש:CREATE USER USERNAME WITH PASSWORD 'PASSWORD';מחליפים את מה שכתוב בשדות הבאים:
-
USERNAME: שם המשתמש בחשבון המשתמש -
PASSWORD: הסיסמה של חשבון המשתמש
הפלט אמור להיראות כך:
CREATE ROLE
מידע נוסף זמין במאמר CREATE USER במסמכי התיעוד של PostgreSQL.
-
נותנים גישת קריאה לטבלאות שרוצים ליצור להן פרופיל.
GRANT pg_read_all_data TO USERNAME;הפלט אמור להיראות כך:
GRANT ROLE
מידע נוסף מופיע במאמר בנושא GRANT במסמכי התיעוד של PostgreSQL.
ב-Secret Manager, יוצרים סוד כדי לאחסן את הסיסמה. יוצרים את הסוד בפרויקט שמכיל את מכונת Cloud SQL.
רושמים בצד את שם המשאב של הסוד.
אפשרות 2: הוספת סוכן השירות כמשתמש במופע (PostgreSQL בלבד)
צריך לבצע את השלבים האלה רק אם מגדירים מופע של Cloud SQL ל-PostgreSQL.
פועלים לפי ההוראות להוספת חשבון שירות IAM למסד נתונים במסמכי Cloud SQL ל-PostgreSQL.
חשבון השירות שאתם מספקים צריך להיות סוכן השירות שמשויך להגדרת הסריקה. כדי לקבל את מזהה סוכן השירות, אפשר לעיין במאמר איך מקבלים את מזהה סוכן השירות בדף הזה.
ב-PostgreSQL, מעניקים הרשאת קריאה לטבלאות שרוצים ליצור להן פרופיל.
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";מחליפים את
TRUNCATED_SERVICE_AGENT_IDבמזהה של הסוכן לשירות, בלי הסיומת.gserviceaccount.com, לדוגמה,service-1234567890@dlp-api.iam.הפלט אמור להיראות כך:
GRANT ROLE
מתן גישה למכונות Cloud SQL
אחרי שיוצרים את הגדרת הסריקה, שירות Sensitive Data Protection יוצר באופן אוטומטי חיבורי שירות שמוגדרים כברירת מחדל לכל מופע שנכלל בהיקף הגילוי. לפני שמתחילים ליצור פרופיל, צריך לערוך כל חיבור שירות כדי לספק את פרטי הכניסה לכל מכונה של Cloud SQL.
כדי לעדכן חיבור:
נכנסים לדף Service connections במסוף Google Cloud .
הקשרים שלכם מוצגים ברשימה.
בחיבור שרוצים לעדכן, לוחצים על פעולות > עריכת החיבור.
מבצעים אחת מהפעולות הבאות:
- מתן פרטי הכניסה לחשבון המשתמש
- שימוש בסוכן השירות כחשבון משתמש (נתמך רק במכונות Cloud SQL ל-PostgreSQL)
אחרי שמעדכנים חיבור, Sensitive Data Protection מנסה להתחבר למופע באמצעות פרטי הכניסה שסיפקתם. אם יש שגיאה בחיבור, Sensitive Data Protection מנסה להתחבר מחדש למופע באופן אוטומטי. מידע נוסף זמין בקטע הצגת שגיאות בחיבור בדף הזה.
הזנת פרטי הכניסה לחשבון משתמש
מזינים את שם המשתמש ואת משאב Secret Manager שמכיל את הסיסמה. הפורמט של משאב Secret Manager הוא:
projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_NUMBER: המזהה המספרי של הפרויקט. -
SECRET_NAME: השם של הסוד שמכיל את הסיסמה. -
VERSION_NUMBER: מספר הגרסה של הסוד. כדי לספק את הגרסה האחרונה, משתמשים ב-latest.
שימוש בסוכן השירות כחשבון משתמש
האפשרות הזו זמינה רק במופעים של Cloud SQL ל-PostgreSQL.
כדי להשתמש בסוכן השירות כחשבון המשתמש, בוחרים באפשרות Cloud SQL IAM database authentication (אימות מסד נתונים של Cloud SQL IAM).
עדכון המספר המקסימלי של חיבורים בו-זמניים למופע
כברירת מחדל, Sensitive Data Protection משתמש בשני חיבורים מקבילים לכל היותר כדי למזער את ההשפעה של הגילוי על מכונות Cloud SQL. מומלץ להגדיל את המספר הזה לערך מתאים בהתאם לגודל ולניצול של המופע.
מידע נוסף זמין במאמר מספר החיבורים המקסימלי בו-זמנית במאמרי העזרה של Cloud SQL.
כדי לשנות את מגבלת החיבור המקסימלית לשירות Discovery, צריך לבצע את הפעולות הבאות:
נכנסים לדף Service connections במסוף Google Cloud .
הקשרים שלכם מוצגים ברשימה.
בחיבור שרוצים לעדכן, לוחצים על פעולות > עריכת החיבור.
בשדה Maximum number of connections (מספר החיבורים המקסימלי), מזינים את המגבלה החדשה.
לוחצים על סיום.
הצגת שגיאות בחיבור
נכנסים לדף Service connections במסוף Google Cloud .
רשימת הקישורים מוצגת. אם יש שגיאה בחיבור, הוא מוצג עם סמל שגיאה.
בחיבור שמופיעה בו שגיאה, לוחצים על פעולות > הצגת שגיאות. מוצגת רשימה של הודעות השגיאה שקשורות לבעיה. כל הודעה כוללת את השם של הגדרת הסריקה שביקשה את החיבור.
פותרים את השגיאה לפי הצורך. בהתאם לשגיאה, הפתרון יכול לכלול את הפעולות הבאות:
- עריכת פרטי הכניסה שסיפקתם.
- עדכון הסיסמה שמאוחסנת ב-Secret Manager.
- מתחברים למסד הנתונים ומעניקים למשתמש במסד הנתונים את ההרשאות הנדרשות.
- הקצאת תפקיד ה-IAM שצוין לסוכן השירות שמשויך להגדרת הסריקה שצוינה.
הכלי Sensitive Data Protection מנסה להתחבר למופע באופן אוטומטי. אם ניסיון החיבור מחדש מצליח, הודעות השגיאה נמחקות.
אפשר לגלות מכונות ללא כתובת IP ציבורית
כדי להפעיל גילוי במכונת Cloud SQL שאין לה כתובת IP ציבורית, בוחרים באפשרות Enable private path (הפעלת נתיב פרטי) עבור המכונה הזו. האפשרות הזו מאפשרת לשירותי Google Cloud לגשת לנתונים במכונת Cloud SQL דרך חיבור IP פרטי.
למידע נוסף, קראו את המאמרים הבאים:
- Cloud SQL ל-MySQL: הגדרה של כתובת IP פרטית למכונה קיימת
- Cloud SQL ל-PostgreSQL: הגדרה של כתובת IP פרטית למכונה קיימת