Cloud Data Loss Prevention (Cloud DLP) kini menjadi bagian dari Sensitive Data Protection. Nama API tetap sama: Cloud Data Loss Prevention API (DLP API). Untuk informasi tentang layanan yang membentuk Perlindungan Data Sensitif, lihat Ringkasan Perlindungan Data Sensitif.

Halaman ini diterjemahkan oleh Cloud Translation API.

Mengelola koneksi untuk digunakan dengan penemuan

Halaman ini menjelaskan cara menggunakan koneksi yang dibuat oleh Sensitive Data Protection saat Anda mengonfigurasi penemuan untuk Cloud SQL.

Mendapatkan ID agen layanan

Untuk melakukan prosedur di halaman ini, Anda memerlukan ID agen layanan yang terkait dengan konfigurasi pemindaian Anda. Untuk mendapatkan ID agen layanan, ikuti langkah-langkah berikut:

Buka daftar konfigurasi pemindaian penemuan.

Buka konfigurasi pemindaian penemuan
Di toolbar, pilih organisasi Anda.
Pilih konfigurasi pemindaian Anda.
Di halaman Detail konfigurasi pemindaian, salin nilai kolom Agen layanan. ID agen layanan dalam format alamat email.

Memberikan peran IAM yang diperlukan ke agen layanan Anda

Pastikan agen layanan yang terkait dengan konfigurasi pemindaian Anda memiliki peran driver yang diperlukan:
- Jika cakupan operasi penemuan Anda adalah seluruh organisasi atau folder, pastikan agen layanan memiliki peran Driver Profil Data Organisasi DLP (roles/dlp.orgdriver).
- Jika cakupan operasi penemuan Anda adalah satu project, pastikan agen layanan memiliki peran DLP Project Data Profiles Driver (roles/dlp.projectdriver).
Berikan peran Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) kepada agen layanan.

Untuk mendapatkan ID agen layanan, lihat Mendapatkan ID agen layanan di halaman ini.

Untuk mengetahui informasi selengkapnya, lihat Memberikan peran kepada agen layanan dalam dokumentasi Identity and Access Management.

Membuat pengguna untuk setiap instance Cloud SQL

Untuk setiap instance yang tercakup dalam penemuan, buat akun pengguna yang memiliki hak istimewa yang diperlukan untuk membuat profil data Anda.

Anda dapat menggunakan akun pengguna yang ada, tetapi Anda harus memastikan bahwa akun tersebut memiliki hak istimewa yang tercantum di bagian ini.

Membuat pengguna untuk instance Cloud SQL untuk MySQL

Bagian ini menjelaskan cara membuat akun pengguna MySQL untuk digunakan dengan pemrofilan data. Baik Anda membuat akun pengguna atau menggunakan kembali akun yang ada, akun tersebut harus memiliki plugin autentikasi mysql_native_password. Bagian ini mencakup informasi tentang cara mengubah akun pengguna database yang ada agar menggunakan plugin autentikasi ini.

Terhubung ke instance.
Siapkan akun pengguna database.
- Jika Anda ingin membuat pengguna database, pada prompt mysql, jalankan perintah berikut:
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Ganti kode berikut:
  - USERNAME: nama pengguna akun pengguna
  - PASSWORD: sandi akun pengguna
  Untuk mengetahui informasi selengkapnya, lihat Pernyataan CREATE USER dalam dokumentasi MySQL.
- Jika Anda ingin menggunakan akun pengguna database yang ada yang tidak menggunakan plugin autentikasi mysql_native_password, gunakan perintah ALTER USER untuk mengubah plugin autentikasi akun tersebut:
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Untuk mengetahui informasi selengkapnya, lihat Pernyataan ALTER USER dalam dokumentasi MySQL.
Berikan hak istimewa SELECT dan SHOW VIEW kepada pengguna.
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
Outputnya mirip dengan hal berikut ini:
```
Query OK, 0 rows affected (0.00 sec)
```
Untuk mengetahui informasi selengkapnya, lihat Pernyataan GRANT dalam dokumentasi MySQL.
Opsional: Jika Anda ingin performance_schema.log_status diprofilkan, berikan hak istimewa BACKUP_ADMIN kepada pengguna. Untuk mengetahui informasi selengkapnya, lihat Skema Performa MySQL dalam dokumentasi MySQL.
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
Di Secret Manager, buat secret untuk menyimpan sandi. Buat secret di project yang berisi instance Cloud SQL.

Catat nama resource secret.

Membuat pengguna untuk instance Cloud SQL for PostgreSQL

Untuk instance Cloud SQL untuk PostgreSQL, Sensitive Data Protection mendukung dua jenis akun pengguna:

Akun pengguna bawaan yang dibuat melalui PostgreSQL.
Akun utama IAM, khususnya, agen layanan yang terkait dengan konfigurasi pemindaian Anda.

Opsi 1: Membuat akun pengguna bawaan di PostgreSQL

Bagian ini menjelaskan cara membuat akun pengguna bawaan melalui PostgreSQL.

Terhubung ke instance.
Pada prompt postgres, jalankan perintah berikut untuk membuat pengguna:
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
Ganti kode berikut:
- USERNAME: nama pengguna akun pengguna
- PASSWORD: sandi akun pengguna
Outputnya mirip dengan hal berikut ini:
```
CREATE ROLE
```
Untuk mengetahui informasi selengkapnya, lihat CREATE USER dalam dokumentasi PostgreSQL.
Berikan peran pg_read_all_data kepada pengguna:
```
GRANT pg_read_all_data TO USERNAME;
```
Outputnya mirip dengan hal berikut ini:
```
GRANT ROLE
```
Untuk mengetahui informasi selengkapnya, lihat GRANT dalam dokumentasi PostgreSQL.
Di Secret Manager, buat secret untuk menyimpan sandi. Buat secret di project yang berisi instance Cloud SQL.

Catat nama resource secret.

Opsi 2: Tambahkan agen layanan sebagai pengguna di instance (khusus PostgreSQL)

Ikuti langkah-langkah ini hanya jika Anda mengonfigurasi instance Cloud SQL untuk PostgreSQL.

Ikuti petunjuk untuk menambahkan akun layanan IAM ke database di dokumentasi Cloud SQL for PostgreSQL.

Akun layanan yang Anda berikan harus berupa agen layanan yang terkait dengan konfigurasi pemindaian. Untuk mendapatkan ID agen layanan, lihat Mendapatkan ID agen layanan di halaman ini.
Di PostgreSQL, berikan peran pg_read_all_data kepada agen layanan:
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
Ganti TRUNCATED_SERVICE_AGENT_ID dengan ID agen layanan tanpa akhiran .gserviceaccount.com—misalnya, service-1234567890@dlp-api.iam.

Outputnya mirip dengan hal berikut ini:
```
GRANT ROLE
```

Memberikan akses ke instance Cloud SQL Anda

Setelah Anda membuat konfigurasi pemindaian, Sensitive Data Protection akan otomatis membuat koneksi layanan default untuk setiap instance dalam cakupan penemuan. Sebelum pembuatan profil dapat dimulai, Anda perlu mengedit setiap koneksi layanan untuk memberikan kredensial setiap instance Cloud SQL.

Untuk memperbarui koneksi, ikuti langkah-langkah berikut:

Di konsol Google Cloud , buka halaman Service connections.

Buka Koneksi layanan

Koneksi Anda akan ditampilkan dalam daftar.
Untuk koneksi yang ingin Anda perbarui, klik Tindakan > Edit koneksi.
Lakukan salah satu hal berikut:
- Memberikan kredensial akun pengguna
- Menggunakan agen layanan sebagai akun pengguna (hanya didukung untuk instance Cloud SQL untuk PostgreSQL)

Setelah Anda memperbarui koneksi, Perlindungan Data Sensitif akan mencoba terhubung ke instance dengan kredensial yang Anda berikan. Jika terjadi error pada koneksi, Sensitive Data Protection akan otomatis mencoba menghubungkan kembali ke instance. Untuk mengetahui informasi selengkapnya, lihat Melihat kesalahan koneksi di halaman ini.

Memberikan kredensial akun pengguna

Masukkan nama pengguna dan resource Secret Manager yang berisi sandi. Resource Secret Manager harus dalam format berikut:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Ganti kode berikut:

PROJECT_NUMBER: ID numerik project Anda.
SECRET_NAME: nama secret yang berisi sandi.
VERSION_NUMBER: nomor versi secret; untuk memberikan versi terbaru, gunakan latest.

Menggunakan agen layanan sebagai akun pengguna

Opsi ini hanya tersedia untuk instance Cloud SQL untuk PostgreSQL.

Untuk menggunakan agen layanan sebagai akun pengguna, pilih Autentikasi database IAM Cloud SQL.

Memperbarui jumlah maksimum koneksi serentak ke instance

Secara default, Sensitive Data Protection menggunakan maksimum dua koneksi serentak untuk meminimalkan dampak penemuan pada instance Cloud SQL Anda. Sebaiknya tingkatkan jumlah ini ke nilai yang sesuai berdasarkan ukuran dan pemanfaatan instance.

Untuk mengetahui informasi selengkapnya, lihat Koneksi serentak maksimum dalam dokumentasi Cloud SQL.

Untuk mengubah batas koneksi maksimum untuk layanan penemuan, lakukan hal berikut:

Di konsol Google Cloud , buka halaman Service connections.

Buka Koneksi layanan

Koneksi Anda akan ditampilkan dalam daftar.
Untuk koneksi yang ingin Anda perbarui, klik Tindakan > Edit koneksi.
Di kolom Jumlah maksimum koneksi, masukkan batas baru.
Klik Selesai.

Melihat error koneksi

Di konsol Google Cloud , buka halaman Service connections.

Buka Koneksi layanan

Koneksi Anda akan tercantum. Jika koneksi mengalami error, koneksi tersebut akan ditampilkan dengan ikon error.
Untuk koneksi yang memiliki error, klik Tindakan > Lihat error. Pesan error terkait akan dicantumkan. Setiap pesan mencakup nama konfigurasi pemindaian yang meminta koneksi.
Selesaikan error sesuai kebutuhan. Bergantung pada errornya, penyelesaiannya dapat melibatkan salah satu hal berikut:
- Mengedit kredensial yang Anda berikan.
- Memperbarui sandi yang disimpan di Secret Manager.
- Login ke database dan memberikan hak istimewa yang diperlukan kepada pengguna database.
- Menetapkan peran IAM yang ditentukan ke agen layanan yang terkait dengan konfigurasi pemindaian yang ditentukan.

Sensitive Data Protection akan otomatis mencoba lagi menghubungkan ke instance. Jika upaya menghubungkan kembali berhasil, pesan error akan dihapus.

Mengizinkan penemuan untuk instance tanpa alamat IP publik

Untuk menjalankan penemuan pada instance Cloud SQL yang tidak memiliki alamat IP publik, pilih opsi Aktifkan jalur pribadi untuk instance tersebut. Opsi ini mengizinkan Google Cloud layanan mengakses data di instance Cloud SQL melalui koneksi IP pribadi.

Untuk informasi selengkapnya, lihat referensi berikut:

Cloud SQL untuk MySQL: Mengonfigurasi IP pribadi untuk instance yang ada
Cloud SQL untuk PostgreSQL: Mengonfigurasi IP pribadi untuk instance yang ada

Langkah berikutnya

Pelajari cara mengelola profil data.