O Cloud Data Loss Prevention (Cloud DLP) faz agora parte da Proteção de dados confidenciais. O nome da API permanece o mesmo: Cloud Data Loss Prevention API (API DLP). Para informações sobre os serviços que compõem a proteção de dados confidenciais, consulte o artigo Vista geral da proteção de dados confidenciais.

Esta página foi traduzida pela API Cloud Translation.

Resolva problemas com o serviço de deteção

Esta página mostra-lhe como resolver problemas com o serviço de deteção da proteção de dados confidenciais. Para mais informações sobre o serviço de deteção, consulte o artigo Perfis de dados. Para informações sobre como ver erros associados à configuração da análise de deteção, consulte o artigo Veja erros de configuração.

O contentor do agente de serviço não tem a API DLP ativada

Este problema ocorre quando cria uma configuração de análise ao nível da organização e não tem a autorização serviceusage.services.enable no projeto que selecionou como o seu contentor do agente de serviço. A proteção de dados confidenciais não consegue ativar automaticamente a API DLP no projeto.

Permission denied to enable service [dlp.googleapis.com]

Para resolver este problema, realize uma das seguintes tarefas. Em ambos os casos, tem de obter as autorizações necessárias. Para mais informações, consulte o artigo Funções necessárias para trabalhar com perfis de dados ao nível da organização ou da pasta.

Crie um novo contentor de agente de serviço

Peça ao seu administrador para lhe conceder a função de criador de projetos (roles/resourcemanager.projectCreator) na organização.
Edite a configuração de análise ao nível da organização.
Na secção Contentor do agente de serviço, crie um novo contentor do agente de serviço clicando em Criar e seguindo as instruções.
Guarde a configuração.

Atualize o contentor do agente de serviço

Peça ao seu administrador para lhe conceder uma função que tenha a autorização serviceusage.services.enable no projeto que selecionou como contentor do agente de serviço.
Veja os detalhes da configuração da análise para ver os erros ativos.
Encontre este erro e clique em Reparar.

O agente do serviço não tem autorização para ler uma coluna controlada por acesso

Este problema ocorre quando cria perfis de uma tabela que aplica a segurança ao nível da coluna através de etiquetas de políticas. Se o agente de serviço não tiver autorização para aceder à coluna restrita, a proteção de dados confidenciais apresenta o seguinte erro:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Para resolver este problema, na página Identity and Access Management (IAM), conceda ao seu agente de serviço a função Leitor detalhado.

Aceda ao IAM

A proteção de dados confidenciais tenta novamente, periodicamente, criar perfis de dados que não conseguiu criar.

Para mais informações sobre como conceder uma função, consulte o artigo Conceda uma única função.

O agente do serviço não tem acesso à criação de perfis de dados

Este problema ocorre depois de alguém na sua organização criar uma configuração de análise ao nível da organização ou da pasta. Quando vê os detalhes da configuração da procura, verifica que o valor de Estado da procura é Ativo com erros. Quando vê o erro, a proteção de dados confidenciais apresenta a seguinte mensagem de erro:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Este erro ocorreu porque a proteção de dados confidenciais não conseguiu conceder automaticamente a função DLP Organization Data Profiles Driver ao seu agente de serviço enquanto criava a configuração de análise. O criador da configuração da análise não tem autorizações para conceder acesso à criação de perfis de dados e, por isso, a Proteção de dados confidenciais não conseguiu fazê-lo em seu nome.

Para resolver este problema, consulte o artigo Conceda acesso à criação de perfis de dados a um agente de serviço.

A conta de serviço não tem autorização para consultar uma tabela

Este problema ocorre quando a proteção de dados confidenciais tenta criar um perfil de uma tabela para a qual o agente do serviço não tem autorização para consultar. A Proteção de dados confidenciais mostra o seguinte erro:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Confirme que a tabela ainda existe. Se a tabela existir, siga os passos seguintes.

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Obtenha a Política IAM atual para a tabela e imprima-a em stdout:
```
bq get-iam-policy TABLE
```
Substitua TABLE pelo nome completo do recurso da tabela do BigQuery no formato PROJECT_ID:DATASET_ID.TABLE_ID, por exemplo, project-id:dataset-id.table-id.
Conceda a função Agente de serviço da API DLP (roles/dlp.serviceAgent) ao agente do serviço:
```
bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
    --role=roles/dlp.serviceAgent TABLE
```
Substitua o seguinte:
- SERVICE_AGENT_ID: o ID do agente de serviço que precisa de consultar a tabela, por exemplo, service-0123456789@dlp-api.iam.gserviceaccount.com.
- TABLE: o nome completo do recurso da tabela do BigQuery no formato PROJECT_ID:DATASET_ID.TABLE_ID—por exemplo, project-id:dataset-id.table-id.
  
  O resultado é semelhante ao seguinte:
```
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':

{
 "bindings": [
   {
     "members": [
       "serviceAccount:SERVICE_AGENT_ID"
     ],
     "role": "roles/dlp.serviceAgent"
   }
 ],
 "etag": "BwXNAPbVq+A=",
 "version": 1
}
```
A proteção de dados confidenciais tenta novamente, periodicamente, criar perfis de dados que não conseguiu criar.

A conta de serviço não tem autorização para publicar num tópico do Pub/Sub

Este problema ocorre quando a proteção de dados confidenciais tenta publicar notificações num tópico do Pub/Sub onde o agente do serviço não tem acesso de publicação. A Proteção de dados confidenciais mostra o seguinte erro:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

Para resolver este problema, conceda acesso de publicação, ao nível do projeto ou tópico, ao seu agente de serviço. Um exemplo de uma função que tem acesso de publicação é a função Publicador do Pub/Sub.

Se existirem problemas de configuração ou autorização com o tópico do Pub/Sub, a Proteção de dados confidenciais tenta reenviar a notificação do Pub/Sub durante um período máximo de duas semanas. Após duas semanas, a notificação é rejeitada.

Não é possível usar o modelo de inspeção para criar perfis de dados numa região diferente

Este problema ocorre quando a proteção de dados confidenciais tenta criar perfis de dados que não residem na mesma região onde reside o modelo de inspeção. A Proteção de dados confidenciais mostra o seguinte erro:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

Nesta mensagem de erro, DATA_REGION é a região onde os dados residem e TEMPLATE_REGION é a região onde o modelo de inspeção reside.

Para resolver este problema, pode copiar o modelo específico da região para a globalregião:

Copie o modelo de inspeção para a região global.
Na página Detalhes do modelo de inspeção, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato:
```
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
```
Edite a configuração da análise e introduza o nome completo do recurso do novo modelo de inspeção.
Clique em Guardar.

A proteção de dados confidenciais tenta novamente, periodicamente, criar perfis de dados que não conseguiu criar.

A proteção de dados confidenciais tentou criar um perfil de uma tabela não suportada

Este problema ocorre quando a proteção de dados confidenciais tenta criar um perfil de uma tabela que não é suportada. Para essa tabela, continua a receber um perfil parcial com os metadados da tabela. No entanto, o perfil parcial apresenta o seguinte erro:

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

Se não quiser receber perfis parciais e erros para tabelas não suportadas, siga estes passos:

Edite a configuração da análise.
No passo Gerir programações, clique em Editar programação.
No painel apresentado, clique no separador Condições.
Na secção Tabelas a analisar, clique em Analisar tabelas suportadas.

Para mais informações, consulte o artigo Faça a gestão das programações.

O relatório do Looker predefinido não está a ser carregado corretamente

Consulte o artigo Resolva problemas com o relatório predefinido.

Problemas relacionados com a etiquetagem automática com base na sensibilidade dos dados

Consulte o artigo Resolva problemas de erros na documentação para controlar o acesso à IAM aos recursos com base na sensibilidade dos dados.

O que se segue?

Veja os erros de configuração

Resolva problemas com o serviço de deteção Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.