Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der Name der API bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die zum Schutz sensibler Daten gehören, finden Sie unter Schutz sensibler Daten.

Diese Seite wurde von der Cloud Translation API übersetzt.

Verbindungen für die Erkennung verwalten

Auf dieser Seite wird beschrieben, wie Sie mit den Verbindungen arbeiten, die Sensitive Data Protection erstellt, wenn Sie die Ermittlung für Cloud SQL konfigurieren.

Dienst-Agent-ID abrufen

Für die Verfahren auf dieser Seite benötigen Sie die ID des Dienst-Agents, der Ihrer Scankonfiguration zugeordnet ist. So rufen Sie die ID des Kundenservicemitarbeiters ab:

Rufen Sie die Liste der Erkennungsscankonfigurationen auf.

Zu den Konfigurationen für Erkennungsscans
Wählen Sie in der Symbolleiste Ihre Organisation aus.
Wählen Sie Ihre Scankonfiguration aus.
Kopieren Sie auf der Seite Details zur Scan-Konfiguration den Wert des Felds Service-Agent. Die Dienst-Agent-ID hat das Format einer E-Mail-Adresse.

Weisen Sie Ihrem Dienst-Agent die erforderlichen IAM-Rollen zu

Prüfen Sie, ob der mit Ihrer Scankonfiguration verknüpfte Dienst-Agent die erforderliche Treiberrolle hat:
- Wenn der Umfang Ihres Ermittlungsvorgangs die gesamte Organisation oder ein Ordner ist, muss der Dienst-Agent die Rolle „Treiber von DLP-Organisationsdatenprofilen“ (roles/dlp.orgdriver) haben.
- Wenn sich der Umfang Ihres Discovery-Vorgangs auf ein einzelnes Projekt beschränkt, muss der Dienst-Agent die Rolle „Treiber von DLP-Projektdatenprofilen“ (roles/dlp.projectdriver) haben.
Weisen Sie dem Dienst-Agent die Rolle „Secret Manager Secret Accessor“ (roles/secretmanager.secretAccessor) zu.

Informationen zum Abrufen Ihrer Dienst-Agent-ID finden Sie auf dieser Seite unter ID des Dienst-Agents abrufen.

Weitere Informationen finden Sie in der Dokumentation zu Identity and Access Management unter Dienst-Agents Rollen zuweisen.

Nutzer für jede Cloud SQL-Instanz erstellen

Erstellen Sie für jede Instanz, die für die Ermittlung infrage kommt, ein Nutzerkonto mit den Berechtigungen, die zum Erstellen von Profilen für Ihre Daten erforderlich sind.

Sie können ein vorhandenes Nutzerkonto verwenden, müssen aber darauf achten, dass dieses Konto die in diesem Abschnitt aufgeführten Berechtigungen hat.

Nutzer für eine Cloud SQL for MySQL-Instanz erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein MySQL-Nutzerkonto für die Verwendung mit der Datenprofilerstellung erstellen. Unabhängig davon, ob Sie ein Nutzerkonto erstellen oder ein vorhandenes Konto wiederverwenden, muss das Konto das mysql_native_password-Authentifizierungs-Plug-in haben. Dieser Abschnitt enthält Informationen dazu, wie Sie ein vorhandenes Datenbanknutzerkonto so ändern, dass dieses Authentifizierungs-Plug-in verwendet wird.

Stellen Sie eine Verbindung zur Instanz her.
Datenbanknutzerkonto vorbereiten
- Wenn Sie einen Datenbanknutzer erstellen möchten, führen Sie an der Eingabeaufforderung mysql den folgenden Befehl aus:
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Ersetzen Sie Folgendes:
  - USERNAME: der Nutzername des Nutzerkontos
  - PASSWORD: Das Passwort des Nutzerkontos.
  Weitere Informationen finden Sie in der MySQL-Dokumentation unter CREATE USER Statement.
- Wenn Sie ein vorhandenes Datenbanknutzerkonto verwenden möchten, das nicht das Authentifizierungs-Plug-in mysql_native_password verwendet, ändern Sie das Authentifizierungs-Plug-in dieses Kontos mit dem Befehl ALTER USER:
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Weitere Informationen finden Sie in der MySQL-Dokumentation unter ALTER USER Statement.
Gewähren Sie dem Nutzer die Berechtigungen SELECT und SHOW VIEW.
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
Die Ausgabe sieht etwa so aus:
```
Query OK, 0 rows affected (0.00 sec)
```
Weitere Informationen finden Sie in der MySQL-Dokumentation unter GRANT Statement.
Optional: Wenn Sie möchten, dass performance_schema.log_status profiliert wird, gewähren Sie dem Nutzer das Attribut BACKUP_ADMIN. Weitere Informationen finden Sie in der MySQL-Dokumentation unter MySQL Performance Schema.
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
Erstellen Sie in Secret Manager ein Secret, um das Passwort zu speichern. Erstellen Sie das Secret in dem Projekt, das die Cloud SQL-Instanz enthält.

Notieren Sie sich den Ressourcennamen des Secrets.

Nutzer für eine Cloud SQL for PostgreSQL-Instanz erstellen

Für Cloud SQL for PostgreSQL-Instanzen unterstützt Sensitive Data Protection zwei Arten von Nutzerkonten:

Ein integriertes Nutzerkonto, das über PostgreSQL erstellt wurde.
Ein IAM-Hauptkonto, insbesondere der Dienst-Agent, der mit Ihrer Scankonfiguration verknüpft ist.

Option 1: Integriertes Nutzerkonto in PostgreSQL erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein integriertes Nutzerkonto über PostgreSQL erstellen.

Stellen Sie eine Verbindung zur Instanz her.
Führen Sie an der Eingabeaufforderung postgres den folgenden Befehl aus, um den Nutzer zu erstellen:
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
Ersetzen Sie Folgendes:
- USERNAME: der Nutzername des Nutzerkontos
- PASSWORD: Das Passwort des Nutzerkontos.
Die Ausgabe sieht etwa so aus:
```
CREATE ROLE
```
Weitere Informationen finden Sie unter CREATE USER in der PostgreSQL-Dokumentation.
Weisen Sie dem Nutzer die Rolle pg_read_all_data zu:
```
GRANT pg_read_all_data TO USERNAME;
```
Die Ausgabe sieht etwa so aus:
```
GRANT ROLE
```
Weitere Informationen finden Sie in der PostgreSQL-Dokumentation unter GRANT.
Erstellen Sie in Secret Manager ein Secret, um das Passwort zu speichern. Erstellen Sie das Secret in dem Projekt, das die Cloud SQL-Instanz enthält.

Notieren Sie sich den Ressourcennamen des Secrets.

Option 2: Dienst-Agent als Nutzer in der Instanz hinzufügen (nur PostgreSQL)

Führen Sie diese Schritte nur aus, wenn Sie eine Cloud SQL for PostgreSQL-Instanz konfigurieren.

Folgen Sie der Anleitung zum Hinzufügen eines IAM-Dienstkontos zu einer Datenbank in der Cloud SQL for PostgreSQL-Dokumentation.

Das von Ihnen angegebene Dienstkonto muss der Dienst-Agent sein, der mit der Scankonfiguration verknüpft ist. Informationen zum Abrufen der Dienst-Agent-ID finden Sie auf dieser Seite unter Dienst-Agent-ID abrufen.
Weisen Sie dem Dienst-Agent in PostgreSQL die Rolle pg_read_all_data zu:
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
Ersetzen Sie TRUNCATED_SERVICE_AGENT_ID durch die Dienst-Agent-ID ohne das Suffix .gserviceaccount.com, z. B. service-1234567890@dlp-api.iam.

Die Ausgabe sieht etwa so aus:
```
GRANT ROLE
```

Zugriff auf Ihre Cloud SQL-Instanzen gewähren

Nachdem Sie die Scankonfiguration erstellt haben, erstellt Sensitive Data Protection automatisch Standarddienstverbindungen für jede Instanz, die für die Erkennung infrage kommt. Bevor das Profiling beginnen kann, müssen Sie jede Dienstverbindung bearbeiten, um die Anmeldedaten für jede Cloud SQL-Instanz anzugeben.

So aktualisieren Sie eine Verbindung:

Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.

Zu „Dienstverbindungen“

Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie bei der Verbindung, die Sie aktualisieren möchten, auf Aktionen > Verbindung bearbeiten.
Führen Sie einen der folgenden Schritte aus:
- Anmeldedaten für Nutzerkonten angeben
- Dienst-Agent als Nutzerkonto verwenden (nur für Cloud SQL for PostgreSQL-Instanzen unterstützt)

Nachdem Sie eine Verbindung aktualisiert haben, versucht Sensitive Data Protection, mit den von Ihnen angegebenen Anmeldedaten eine Verbindung zur Instanz herzustellen. Wenn bei einer Verbindung ein Fehler auftritt, versucht Sensitive Data Protection automatisch, eine Verbindung zur Instanz herzustellen. Weitere Informationen finden Sie auf dieser Seite unter Verbindungsfehler ansehen.

Anmeldedaten für Nutzerkonten angeben

Geben Sie den Nutzernamen und die Secret Manager-Ressource ein, die das Passwort enthält. Die Secret Manager-Ressource muss das folgende Format haben:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Ersetzen Sie Folgendes:

PROJECT_NUMBER: Die numerische ID Ihres Projekts.
SECRET_NAME: Der Name des Secrets, das das Passwort enthält.
VERSION_NUMBER: die Versionsnummer des Secrets. Verwenden Sie latest für die neueste Version.

Dienst-Agent als Nutzerkonto verwenden

Diese Option ist nur für Cloud SQL for PostgreSQL-Instanzen verfügbar.

Wenn Sie den Dienst-Agent als Nutzerkonto verwenden möchten, wählen Sie Cloud SQL-IAM-Datenbankauthentifizierung aus.

Maximale Anzahl gleichzeitiger Verbindungen zu einer Instanz aktualisieren

Standardmäßig verwendet Sensitive Data Protection maximal zwei gleichzeitige Verbindungen, um die Auswirkungen der Ermittlung auf Ihre Cloud SQL-Instanzen zu minimieren. Wir empfehlen, diese Zahl entsprechend der Instanzgröße und ‑auslastung auf einen angemessenen Wert zu erhöhen.

Weitere Informationen finden Sie in der Cloud SQL-Dokumentation unter Maximale Anzahl gleichzeitiger Verbindungen.

So ändern Sie das maximale Verbindungslimit für den Discovery-Dienst:

Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.

Zu „Dienstverbindungen“

Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie bei der Verbindung, die Sie aktualisieren möchten, auf Aktionen > Verbindung bearbeiten.
Geben Sie im Feld Maximale Anzahl von Verbindungen das neue Limit ein.
Klicken Sie auf Fertig.

Verbindungsfehler ansehen

Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.

Zu „Dienstverbindungen“

Ihre Verbindungen werden aufgelistet. Wenn bei einer Verbindung ein Fehler auftritt, wird sie mit einem Fehlersymbol angezeigt.
Klicken Sie für die Verbindung mit einem Fehler auf Aktionen > Fehler ansehen. Die zugehörigen Fehlermeldungen werden aufgeführt. Jede Nachricht enthält den Namen der Scankonfiguration, mit der die Verbindung angefordert wurde.
Beheben Sie den Fehler gegebenenfalls. Je nach Fehler kann die Lösung Folgendes umfassen:
- Die von Ihnen angegebenen Anmeldedaten bearbeiten
- Das in Secret Manager gespeicherte Passwort wird aktualisiert.
- Melden Sie sich in der Datenbank an und gewähren Sie dem Datenbanknutzer die erforderlichen Berechtigungen.
- Weisen Sie dem Dienst-Agent, der mit der angegebenen Scankonfiguration verknüpft ist, die angegebene IAM-Rolle zu.

Sensitive Data Protection versucht automatisch, die Verbindung zur Instanz wiederherzustellen. Wenn ein erneuter Verbindungsversuch erfolgreich ist, werden die Fehlermeldungen gelöscht.

Ermittlung für Instanzen ohne öffentliche IP-Adresse zulassen

Wenn Sie die Ermittlung für eine Cloud SQL-Instanz ohne öffentliche IP-Adresse ausführen möchten, wählen Sie für diese Instanz die Option Privaten Pfad aktivieren aus. Mit dieser Option können Google Cloud -Dienste über eine private IP-Verbindung auf Daten in einer Cloud SQL-Instanz zugreifen.

Hier finden Sie weitere Informationen:

Cloud SQL for MySQL: Private IP-Adresse für eine vorhandene Instanz konfigurieren
Cloud SQL for PostgreSQL: Private IP-Adresse für eine vorhandene Instanz konfigurieren

Nächste Schritte

Datenprofile verwalten