Questa pagina mostra come risolvere i problemi relativi al servizio di rilevamento di Sensitive Data Protection. Per saperne di più sul servizio di rilevamento, consulta Profili di dati. Per informazioni su come visualizzare gli errori associati alla configurazione della scansione di rilevamento, consulta Visualizzare gli errori di configurazione.
Il service agent container non ha l'API DLP abilitata
Questo problema si verifica quando crei una configurazione di scansione a livello di organizzazione e
non hai l'autorizzazione
serviceusage.services.enable
per il progetto selezionato come container dell'agente di servizio.
Sensitive Data Protection non è in grado di abilitare automaticamente l'API DLP nel progetto.
Permission denied to enable service [dlp.googleapis.com]
Per risolvere il problema, esegui una delle seguenti attività. In entrambi i casi, devi ottenere le autorizzazioni richieste. Per saperne di più, consulta Ruoli richiesti per lavorare con i profili di dati a livello di organizzazione o cartella livello.
Crea un nuovo container dell'agente di servizio
- Chiedi all'amministratore di concederti il ruolo Autore progetto (
roles/resourcemanager.projectCreator) nell'organizzazione. - Modifica la configurazione della scansione a livello di organizzazione.
- Nella sezione Container dell'agente di servizio, crea un nuovo container dell'agente di servizio facendo clic su Crea e seguendo le istruzioni.
- Salva la configurazione.
Aggiorna il container dell'agente di servizio
- Chiedi all'amministratore di concederti un ruolo con l'autorizzazione
serviceusage.services.enableper il progetto selezionato come container del service agent. - Visualizza i dettagli della configurazione della scansione per vedere gli errori attivi.
- Trova questo errore e fai clic su Ripara.
L'agente di servizio non ha l'autorizzazione per leggere una colonna con controllo dell'accesso
Questo problema si verifica durante la profilazione di una tabella che applica la sicurezza a livello di colonna tramite i tag di policy. Se l'agente di servizio non ha l'autorizzazione per accedere alla colonna con limitazioni, Sensitive Data Protection mostra il seguente errore:
Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.
Per risolvere il problema, nella pagina Identity and Access Management (IAM), concedi al tuo agente di servizio il ruolo Lettore con granularità fine.
Sensitive Data Protection riprova periodicamente a profilare i dati che non è riuscita a profilare.
Per saperne di più sulla concessione di un ruolo, consulta Concedere un singolo ruolo.
L'agente di servizio non ha accesso alla profilazione dei dati
Questo problema si verifica dopo che un utente della tua organizzazione crea una configurazione di scansione a livello di organizzazione o cartella. Quando visualizzi i dettagli della configurazione della scansione, vedrai che il valore di Stato scansione è Attivo con errori. Quando visualizzi l'errore, Sensitive Data Protection mostra il seguente messaggio di errore:
None of the driver projects (PROJECT_ID) have MISSING_PERMISSION permission for organizations/ORGANIZATION_ID.
Questo errore si è verificato perché Sensitive Data Protection non è riuscita a concedere automaticamente il ruolo Driver profili di dati dell'organizzazione DLP al tuo agente di servizio durante la creazione della configurazione della scansione. Il creatore della configurazione della scansione non dispone delle autorizzazioni per concedere l'accesso alla profilazione dei dati, pertanto Sensitive Data Protection non è riuscita a farlo per suo conto.
Per risolvere il problema, consulta Concedere l'accesso alla profilazione dei dati a un agente di servizio.
Il account di servizio non ha l'autorizzazione per eseguire query su una tabella
Questo problema si verifica quando Sensitive Data Protection tenta di profilare una tabella su cui l'agente di servizio non ha l'autorizzazione per eseguire query. Sensitive Data Protection mostra il seguente errore:
Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query table TABLE. Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query TABLE. [TIMESTAMP]
Verifica che la tabella esista ancora. Se la tabella esiste, esegui i seguenti passaggi.
-
Nella Google Cloud console, attiva Cloud Shell.
Nella parte inferiore della Google Cloud console viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già inclusa e installata e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.
Recupera il criterio IAM corrente per la tabella e stampalo su
stdout:bq get-iam-policy TABLESostituisci TABLE con il nome completo della risorsa della tabella BigQuery, nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio
project-id:dataset-id.table-id.Concedi il ruolo API DLP Service Agent (
roles/dlp.serviceAgent) all'agente di servizio:bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \ --role=roles/dlp.serviceAgent TABLESostituisci quanto segue:
- SERVICE_AGENT_ID: l'ID del service agent che deve eseguire query
sulla tabella, ad esempio
service-0123456789@dlp-api.iam.gserviceaccount.com. TABLE: il nome completo della risorsa della tabella BigQuery, nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio
project-id:dataset-id.table-id.L'output è simile al seguente:
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE': { "bindings": [ { "members": [ "serviceAccount:SERVICE_AGENT_ID" ], "role": "roles/dlp.serviceAgent" } ], "etag": "BwXNAPbVq+A=", "version": 1 }Sensitive Data Protection riprova periodicamente a profilare i dati che non è riuscita a profilare.
- SERVICE_AGENT_ID: l'ID del service agent che deve eseguire query
sulla tabella, ad esempio
Il account di servizio non ha l'autorizzazione per pubblicare in un argomento Pub/Sub
Questo problema si verifica quando Sensitive Data Protection tenta di pubblicare notifiche in un argomento Pub/Sub in cui l'agente di servizio non ha accesso alla pubblicazione. Sensitive Data Protection mostra il seguente errore:
Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'. The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.
Per risolvere il problema, concedi l'accesso alla pubblicazione, a livello di progetto o argomento, al tuo service agent. Un esempio di ruolo con accesso alla pubblicazione è il ruolo Pub/Sub Publisher.
Se si verificano problemi di configurazione o autorizzazione con l'argomento Pub/Sub, Sensitive Data Protection riprova a inviare la notifica Pub/Sub per un massimo di due settimane. Dopo due settimane, la notifica viene eliminata.
Il modello di ispezione non può essere utilizzato per profilare i dati in un'altra regione
Questo problema si verifica quando Sensitive Data Protection tenta di profilare dati che non si trovano nella stessa regione in cui si trova il modello di ispezione. Sensitive Data Protection mostra il seguente errore:
Data in region DATA_REGION cannot be profiled using template in region TEMPLATE_REGION. Regional template can only be used to profile data in the same region. If profiling data in multiple regions, use a global template.
In questo messaggio di errore, DATA_REGION è la regione in cui si trovano i dati e TEMPLATE_REGION è la regione in cui si trova il modello di ispezione.
Per risolvere il problema, puoi copiare il modello specifico della regione nella regione global:
Nella pagina Dettagli modello di ispezione, copia il nome completo della risorsa del modello. Il nome completo della risorsa ha il seguente formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
Modifica la configurazione della scansione e inserisci il nome completo della risorsa del nuovo modello di ispezione.
Fai clic su Salva.
Sensitive Data Protection riprova periodicamente a profilare i dati che non è riuscita a profilare.
Sensitive Data Protection ha tentato di profilare una tabella non supportata
Questo problema si verifica quando Sensitive Data Protection tenta di profilare una tabella non supportata. Per questa tabella, riceverai comunque un profilo parziale contenente i metadati della tabella. Tuttavia, il profilo parziale mostra il seguente errore:
Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].
Se non vuoi ricevere profili parziali ed errori per le tabelle non supportate, segui questi passaggi:
- Modifica la configurazione della scansione.
- Nel passaggio Gestisci pianificazioni, fai clic su Modifica pianificazione.
- Nel riquadro visualizzato, fai clic sulla scheda Condizioni.
- Nella sezione Tabelle da profilare, fai clic su Profila tabelle supportate.
Per saperne di più, consulta Gestire le pianificazioni.
Il report Looker predefinito non viene caricato correttamente
Consulta Risolvere gli errori relativi al report predefinito.
Problemi relativi all'assegnazione automatica di tag in base alla sensibilità dei dati
Consulta Risolvere gli errori nella documentazione per il controllo dell'accesso IAM alle risorse in base alla sensibilità dei dati.