Auf dieser Seite wird beschrieben, wie Sie mit den Verbindungen arbeiten, die der Schutz für vertrauliche Daten beim Konfigurieren der Datenermittlung für Cloud SQL erstellt.
Dienst-Agent-ID abrufen
Für die Durchführung der Verfahren auf dieser Seite benötigen Sie die ID des Dienst-Agents, der mit Ihrer Scankonfiguration verknüpft ist. So rufen Sie die Kundenservicemitarbeiter-ID ab:
Rufen Sie die Liste der Konfigurationen für die explorative Datenanalyse auf.
- Wählen Sie Ihre Scankonfiguration aus.
- Kopieren Sie auf der daraufhin angezeigten Detailseite die Service-Agent-ID. Diese ID hat das Format einer E-Mail-Adresse.
Dem Kundenservicemitarbeiter die erforderlichen IAM-Rollen zuweisen
Prüfen Sie, ob der Dienstmitarbeiter, der mit Ihrer Scankonfiguration verknüpft ist, die erforderliche Fahrerrolle hat:
- Wenn der Umfang Ihrer Suche die gesamte Organisation oder einen Ordner umfasst, muss der Dienst-Agent die Rolle „Treiber von DLP-Organisationsdatenprofilen“ (
roles/dlp.orgdriver
) haben. - Wenn der Umfang Ihrer Discovery-Aktion auf ein einzelnes Projekt beschränkt ist, muss der Dienstmitarbeiter die Rolle „Treiber von DLP-Projektdatenprofilen“ (
roles/dlp.projectdriver
) haben.
- Wenn der Umfang Ihrer Suche die gesamte Organisation oder einen Ordner umfasst, muss der Dienst-Agent die Rolle „Treiber von DLP-Organisationsdatenprofilen“ (
Weisen Sie dem Dienst-Agent die Rolle „Zugriffsperson für Secret Manager-Secret“ (
roles/secretmanager.secretAccessor
) zu.
Informationen zum Abrufen Ihrer Dienst-Agent-ID finden Sie auf dieser Seite unter ID des Dienst-Agents abrufen.
Weitere Informationen finden Sie in der Dokumentation zu Identity and Access Management unter Rollen für Kundenservicemitarbeiter gewähren.
Nutzer für jede Cloud SQL-Instanz erstellen
Erstellen Sie für jede Instanz, die für die Entdeckung infrage kommt, ein Nutzerkonto mit den erforderlichen Berechtigungen zum Erstellen von Profilen für Ihre Daten.
Sie können ein vorhandenes Nutzerkonto verwenden. Dieses Konto muss jedoch die in diesem Abschnitt aufgeführten Berechtigungen haben.
Nutzer für eine Cloud SQL for MySQL-Instanz erstellen
In diesem Abschnitt wird beschrieben, wie Sie ein MySQL-Nutzerkonto für die Verwendung mit dem Datenprofiling erstellen. Unabhängig davon, ob Sie ein Nutzerkonto erstellen oder ein vorhandenes wiederverwenden, muss das Konto das mysql_native_password
-Authentifizierungs-Plug-in haben.
In diesem Abschnitt erfahren Sie, wie Sie ein vorhandenes Datenbanknutzerkonto so ändern, dass dieses Authentifizierungs-Plug-in verwendet wird.
- Stellen Sie eine Verbindung zur Instanz her.
Bereiten Sie das Datenbanknutzerkonto vor.
Wenn Sie einen Datenbanknutzer erstellen möchten, führen Sie an der
mysql
-Eingabeaufforderung den folgenden Befehl aus:CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Ersetzen Sie Folgendes:
USERNAME
: der Nutzername des NutzerkontosPASSWORD
: das Passwort für das Nutzerkonto
Weitere Informationen finden Sie in der MySQL-Dokumentation unter CREATE USER-Anweisung.
Wenn Sie ein vorhandenes Datenbanknutzerkonto verwenden möchten, für das nicht das
mysql_native_password
-Authentifizierungs-Plug-in verwendet wird, ändern Sie das Authentifizierungs-Plug-in dieses Kontos mit dem BefehlALTER USER
:ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Weitere Informationen finden Sie in der MySQL-Dokumentation unter ALTER USER-Anweisung.
Weisen Sie dem Nutzer die Berechtigungen
SELECT
undSHOW VIEW
zu.GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
Die Ausgabe sieht in etwa so aus:
Query OK, 0 rows affected (0.00 sec)
Weitere Informationen finden Sie in der MySQL-Dokumentation unter GRANT-Anweisung.
Optional: Wenn Sie
performance_schema.log_status
profilieren möchten, gewähren Sie dem Nutzer das BerechtigungslevelBACKUP_ADMIN
. Weitere Informationen finden Sie in der MySQL-Dokumentation unter MySQL-Leistungsschema.GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
Erstellen Sie in Secret Manager ein Secret, um das Passwort zu speichern. Erstellen Sie das Secret im Projekt, das die Cloud SQL-Instanz enthält.
Notieren Sie sich den Ressourcennamen des Secrets.
Nutzer für eine Cloud SQL for PostgreSQL-Instanz erstellen
Für Cloud SQL for PostgreSQL-Instanzen werden mit Sensitive Data Protection zwei Arten von Nutzerkonten unterstützt:
- Ein integriertes Nutzerkonto, das über PostgreSQL erstellt wurde.
- Ein IAM-Hauptkonto, insbesondere der Dienst-Agent, der mit Ihrer Scankonfiguration verknüpft ist.
Option 1: Ein integriertes Nutzerkonto in PostgreSQL erstellen
In diesem Abschnitt wird beschrieben, wie Sie ein integriertes Nutzerkonto über PostgreSQL erstellen.
- Stellen Sie eine Verbindung zur Instanz her.
Führen Sie an der
postgres
-Eingabeaufforderung den folgenden Befehl aus, um den Nutzer zu erstellen:CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
Ersetzen Sie Folgendes:
USERNAME
: der Nutzername des NutzerkontosPASSWORD
: das Passwort für das Nutzerkonto
Die Ausgabe sieht in etwa so aus:
CREATE ROLE
Weitere Informationen finden Sie unter CREATE USER in der PostgreSQL-Dokumentation.
Weisen Sie dem Nutzer die Rolle
pg_read_all_data
zu:GRANT pg_read_all_data TO USERNAME;
Die Ausgabe sieht in etwa so aus:
GRANT ROLE
Weitere Informationen finden Sie unter GRANT in der PostgreSQL-Dokumentation.
Erstellen Sie in Secret Manager ein Secret, um das Passwort zu speichern. Erstellen Sie das Secret im Projekt, das die Cloud SQL-Instanz enthält.
Notieren Sie sich den Ressourcennamen des Secrets.
Option 2: Dienstmitarbeiter als Nutzer in der Instanz hinzufügen (nur PostgreSQL)
Führen Sie diese Schritte nur aus, wenn Sie eine Cloud SQL for PostgreSQL-Instanz konfigurieren.
Folgen Sie der Anleitung in der Cloud SQL for PostgreSQL-Dokumentation, um einer Datenbank ein IAM-Dienstkonto hinzuzufügen.
Das von Ihnen angegebene Dienstkonto muss dem Dienst-Agenten entsprechen, der mit der Scankonfiguration verknüpft ist. Informationen zum Abrufen der ID des Kundenservicemitarbeiters findest du auf dieser Seite unter ID des Kundenservicemitarbeiters abrufen.
Weisen Sie dem Dienst-Agent in PostgreSQL die Rolle
pg_read_all_data
zu:GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
Ersetzen Sie
TRUNCATED_SERVICE_AGENT_ID
durch die Kundenservicemitarbeiter-ID ohne das Suffix.gserviceaccount.com
, z. B.service-1234567890@dlp-api.iam
.Die Ausgabe sieht in etwa so aus:
GRANT ROLE
Zugriff auf Ihre Cloud SQL-Instanzen gewähren
Nachdem Sie die Scankonfiguration erstellt haben, werden vom Schutz sensibler Daten automatisch Standarddienstverbindungen für jede Instanz erstellt, die für die Erkennung infrage kommt. Bevor das Profiling gestartet werden kann, müssen Sie jede Dienstverbindung bearbeiten, um die Anmeldedaten für jede Cloud SQL-Instanz anzugeben.
So aktualisieren Sie eine Verbindung:
Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.
Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie bei der Verbindung, die Sie aktualisieren möchten, auf > Verbindung bearbeiten.
AktionenFühren Sie einen der folgenden Schritte aus:
- Anmeldedaten für das Nutzerkonto angeben
- Dienst-Agent als Nutzerkonto verwenden (nur für Cloud SQL for PostgreSQL-Instanzen unterstützt)
Nachdem Sie eine Verbindung aktualisiert haben, versucht Sensitive Data Protection, mit den von Ihnen angegebenen Anmeldedaten eine Verbindung zur Instanz herzustellen. Wenn ein Verbindungsfehler auftritt, wird die Verbindung zur Instanz automatisch noch einmal versucht. Weitere Informationen finden Sie auf dieser Seite unter Verbindungsfehler ansehen.
Anmeldedaten für das Nutzerkonto angeben
Geben Sie den Nutzernamen und die Secret Manager-Ressource ein, die das Passwort enthält. Die Secret Manager-Ressource muss das folgende Format haben:
projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER
Ersetzen Sie Folgendes:
PROJECT_NUMBER
: Die numerische ID Ihres Projekts.SECRET_NAME
: der Name des Secrets, das das Passwort enthält.VERSION_NUMBER
: die Versionsnummer des Secrets. Verwenden Sielatest
, um die neueste Version anzugeben.
Dienstmitarbeiter als Nutzerkonto verwenden
Diese Option ist nur für Cloud SQL for PostgreSQL-Instanzen verfügbar.
Wenn Sie den Dienstagenten als Nutzerkonto verwenden möchten, wählen Sie Cloud SQL-IAM-Datenbankauthentifizierung aus.
Maximale Anzahl gleichzeitiger Verbindungen zu einer Instanz aktualisieren
Standardmäßig werden für den Schutz sensibler Daten maximal zwei gleichzeitige Verbindungen verwendet, um die Auswirkungen der Erkennung auf Ihre Cloud SQL-Instanzen zu minimieren. Wir empfehlen, diese Zahl auf einen geeigneten Wert zu erhöhen, der auf der Instanzgröße und -nutzung basiert.
Weitere Informationen finden Sie in der Cloud SQL-Dokumentation unter Maximale Anzahl gleichzeitiger Verbindungen.
So ändern Sie das maximale Verbindungslimit für den Discovery-Dienst:
Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.
Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie bei der Verbindung, die Sie aktualisieren möchten, auf > Verbindung bearbeiten.
AktionenGeben Sie im Feld Maximale Anzahl von Verbindungen das neue Limit ein.
Klicken Sie auf Fertig.
Verbindungsfehler ansehen
Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.
Ihre Kontakte werden angezeigt. Wenn bei einer Verbindung ein Fehler auftritt, wird sie mit einem Fehlersymbol angezeigt.
Klicken Sie bei der Verbindung mit dem Fehler auf > Fehler ansehen. Die zugehörigen Fehlermeldungen werden aufgeführt. Jede Nachricht enthält den Namen der Scankonfiguration, für die die Verbindung angefordert wurde.
AktionenBeheben Sie den Fehler bei Bedarf. Je nach Fehler kann die Lösung eine der folgenden Maßnahmen umfassen:
- Die von Ihnen angegebenen Anmeldedaten bearbeiten
- Aktualisieren Sie das in Secret Manager gespeicherte Passwort.
- Melden Sie sich in der Datenbank an und gewähren Sie dem Datenbanknutzer die erforderlichen Berechtigungen.
- Dem Dienstmitarbeiter, der mit der angegebenen Scankonfiguration verknüpft ist, wird die angegebene IAM-Rolle zugewiesen.
Sensitive Data Protection versucht automatisch, die Verbindung zur Instanz wiederherzustellen. Wenn der Versuch, eine neue Verbindung herzustellen, erfolgreich ist, werden die Fehlermeldungen gelöscht.
Erkennung für Instanzen ohne öffentliche IP-Adresse zulassen
Wenn Sie die Suche für eine Cloud SQL-Instanz ausführen möchten, die keine öffentliche IP-Adresse hat, wählen Sie für diese Instanz die Option Privaten Pfad aktivieren aus. Mit dieser Option können Google Cloud-Dienste über eine private IP-Verbindung auf Daten in einer Cloud SQL-Instanz zugreifen.
Hier finden Sie weitere Informationen:
- Cloud SQL for MySQL: Private IP-Adresse für eine vorhandene Instanz konfigurieren
- Cloud SQL for PostgreSQL: Private IP-Adresse für eine vorhandene Instanz konfigurieren