Soluciona problemas con el servicio de descubrimiento

En esta página, se muestra cómo resolver problemas con el servicio de descubrimiento de Sensitive Data Protection. Para obtener más información sobre el servicio de descubrimiento, consulta Data profiles. Para obtener información sobre cómo ver los errores asociados con la configuración de análisis de descubrimiento, consulta Visualiza errores de configuración.

El contenedor del agente de servicio no tiene habilitada la API de DLP

Este problema se produce cuando creas una configuración de análisis a nivel de la organización y no tienes el serviceusage.services.enable permiso en el proyecto que seleccionaste como contenedor del agente de servicio. Sensitive Data Protection no puede habilitar automáticamente la API de DLP en el proyecto.

Permission denied to enable service [dlp.googleapis.com]

Para resolver este problema, realiza una de las siguientes tareas. En ambos casos, debes obtener los permisos necesarios. Para obtener más información, consulta Roles necesarios para trabajar con perfiles de datos a nivel de la organización o la carpeta level.

Crea un contenedor de agente de servicio nuevo

  1. Pídele a tu administrador que te otorgue el rol de creador de proyectos (roles/resourcemanager.projectCreator) en la organización.
  2. Edita la configuración de análisis a nivel de la organización.
  3. En la sección Contenedor del agente de servicio, haz clic en Crear y sigue las instrucciones para crear un contenedor de agente de servicio nuevo.
  4. Guarde la configuración.

Actualiza el contenedor del agente de servicio

  1. Pídele a tu administrador que te otorgue un rol que tenga el permiso serviceusage.services.enable en el proyecto que seleccionaste como contenedor del agente de servicio.
  2. Visualiza los detalles de la configuración de análisis para ver los errores activos.
  3. Busca este error y haz clic en Reparar.

El agente de servicio no tiene permiso para leer una columna con control de acceso

Este problema se produce cuando se crea un perfil de una tabla que aplica seguridad a nivel de columnas a través de etiquetas de política. Si el agente de servicio no tiene permiso para acceder a la columna restringida, Sensitive Data Protection muestra el siguiente error:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Para resolver este problema, en la página Identity and Access Management (IAM), otorga a tu agente de servicio el rol Lector detallado.

Ir a IAM

Sensitive Data Protection vuelve a intentar periódicamente crear perfiles de datos que no pudo crear.

Para obtener más información sobre cómo otorgar un rol, consulta Otorga un solo rol.

El agente de servicio no tiene acceso a la creación de perfiles de datos

Este problema se produce después de que alguien de tu organización crea una configuración de análisis a nivel de la organización o la carpeta. Cuando ves los detalles de la configuración de análisis, observas que el valor de Estado del análisis es Activo con errores. Cuando ves el error, Sensitive Data Protection muestra el siguiente mensaje de error:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Este error se produjo porque Sensitive Data Protection no pudo otorgar automáticamente el rol Controlador de perfiles de datos de la organización de DLP a tu agente de servicio mientras creaba la configuración de análisis. El creador de la configuración de análisis no tiene permisos para otorgar acceso a la creación de perfiles de datos, por lo que Sensitive Data Protection no pudo hacerlo en su nombre.

Para resolver este problema, consulta Otorgar acceso a la creación de perfiles de datos a un agente de servicio.

La cuenta de servicio no tiene permiso para consultar una tabla

Este problema se produce cuando Sensitive Data Protection intenta crear un perfil de una tabla que el agente de servicio no tiene permiso para consultar. Sensitive Data Protection muestra el siguiente error:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Confirma que la tabla aún existe. Si la tabla existe, sigue estos pasos.

  1. En la Google Cloud consola, activa Cloud Shell.

    Activa Cloud Shell

    En la parte inferior de la Google Cloud consola, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

  2. Obtén la política de IAM actual para la tabla y, luego, imprímela en stdout:

    bq get-iam-policy TABLE

    Reemplaza TABLE por el nombre completo del recurso de la tabla de BigQuery, en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo, project-id:dataset-id.table-id.

  3. Otorga el rol de agente de servicios de la API de DLP (roles/dlp.serviceAgent) al agente de servicio:

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
    --role=roles/dlp.serviceAgent TABLE

    Reemplaza lo siguiente:

    • SERVICE_AGENT_ID: Es el ID del agente de servicio que necesita consultar la tabla, por ejemplo, service-0123456789@dlp-api.iam.gserviceaccount.com.

    • TABLE: Es el nombre completo del recurso de la tabla de BigQuery , en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo, project-id:dataset-id.table-id.

      El resultado es similar a este:

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':

{
 "bindings": [
   {
     "members": [
       "serviceAccount:SERVICE_AGENT_ID"
     ],
     "role": "roles/dlp.serviceAgent"
   }
 ],
 "etag": "BwXNAPbVq+A=",
 "version": 1
}

    Sensitive Data Protection vuelve a intentar periódicamente crear perfiles de datos que no pudo crear.

La cuenta de servicio no tiene permiso para publicar en un tema de Pub/Sub

Este problema se produce cuando Sensitive Data Protection intenta publicar notificaciones en un tema de Pub/Sub en el que el agente de servicio no tiene acceso de publicación. Sensitive Data Protection muestra el siguiente error:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

Para resolver este problema, otorga acceso de publicación, a nivel del proyecto o del tema, a tu agente de servicio. Un ejemplo de un rol que tiene acceso de publicación es el rol Publicador de Pub/Sub.

Si hay problemas de configuración o permisos con el tema de Pub/Sub, Sensitive Data Protection vuelve a intentar enviar la notificación de Pub/Sub hasta por dos semanas. Después de dos semanas, se descarta la notificación.

No se puede usar la plantilla de inspección para generar perfiles de datos en una región diferente

Este problema se produce cuando Sensitive Data Protection intenta crear un perfil de datos que no reside en la misma región en la que reside la plantilla de inspección. Sensitive Data Protection muestra el siguiente error:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

En este mensaje de error, DATA_REGION es la región en la que residen los datos, y TEMPLATE_REGION es la región en la que reside la plantilla de inspección.

Para resolver este problema, puedes copiar la plantilla específica de la región a la región global:

  1. Copia la plantilla de inspección a la región global.

  2. En la página Detalles de la plantilla de inspección, copia el nombre completo del recurso de la plantilla. El nombre completo del recurso tiene el siguiente formato:

    projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

  3. Edita la configuración de análisis y, luego, ingresa el nombre completo del recurso de la nueva plantilla de inspección.

  4. Haz clic en Guardar.

Sensitive Data Protection vuelve a intentar periódicamente crear perfiles de datos que no pudo crear.

Sensitive Data Protection intentó crear un perfil de una tabla no compatible

Este problema se produce cuando Sensitive Data Protection intenta crear un perfil de una tabla que no es compatible. Para esa tabla, aún obtienes un perfil parcial que contiene los metadatos de la tabla. Sin embargo, el perfil parcial muestra el siguiente error:

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

Si no quieres obtener perfiles parciales ni errores para tablas no compatibles, sigue estos pasos:

  1. Edita la configuración de análisis.
  2. En el paso Administrar programaciones, haz clic en Editar programación.
  3. En el panel que aparece, haz clic en la pestaña Condiciones.
  4. En la sección Tablas para crear perfiles, haz clic en Crear perfiles de tablas compatibles.

Para obtener más información, consulta Administra programaciones.

El informe precompilado de Looker no se carga correctamente

Consulta Soluciona errores con el informe precompilado.

Consulta Soluciona errores en la documentación para controlar el acceso de IAM a los recursos en función de la sensibilidad de los datos.

¿Qué sigue?