Cloud Data Loss Prevention (Cloud DLP) ora fa parte di Sensitive Data Protection. Il nome dell'API rimane invariato: API Cloud Data Loss Prevention (API DLP). Per informazioni sui servizi che compongono Sensitive Data Protection, consulta la panoramica di Sensitive Data Protection.

Questa pagina è stata tradotta dall'API Cloud Translation.

Gestire le connessioni per l'utilizzo con il rilevamento

Questa pagina descrive come utilizzare le connessioni create da Sensitive Data Protection quando configuri il rilevamento per Cloud SQL.

Recuperare l'ID agente di servizio

Per eseguire le procedure descritte in questa pagina, devi disporre dell'ID dell'agente di servizio associato alla configurazione della scansione. Per ottenere l'ID dell'agente del servizio:

Vai all'elenco delle configurazioni di scansione del rilevamento.

Vai alle configurazioni di scansione del rilevamento
Nella barra degli strumenti, seleziona la tua organizzazione.
Seleziona la configurazione della scansione.
Nella pagina Dettagli configurazione scansione, copia il valore del campo Agente di servizio. L'ID agente di servizio è nel formato di un indirizzo email.

Concedi i ruoli IAM richiesti all'agente di servizio

Assicurati che l'agente di servizio associato alla configurazione della scansione disponga del ruolo di driver richiesto:
- Se l'ambito dell'operazione di rilevamento è l'intera organizzazione o una cartella, assicurati che l'agente di servizio disponga del ruolo Driver profili dati dell'organizzazione DLP (roles/dlp.orgdriver).
- Se l'ambito dell'operazione di rilevamento è un singolo progetto, assicurati che l'agente di servizio disponga del ruolo DLP Project Data Profiles Driver (roles/dlp.projectdriver).
Concedi all'agente di servizio il ruolo Secret Manager Secret Accessor (roles/secretmanager.secretAccessor).

Per ottenere l'ID agente di servizio, consulta la sezione Recuperare l'ID agente di servizio in questa pagina.

Per saperne di più, consulta Concedere ruoli agli agenti di servizio nella documentazione di Identity and Access Management.

Crea un utente per ogni istanza Cloud SQL

Per ogni istanza inclusa nell'ambito della scoperta, crea un account utente che disponga dei privilegi necessari per profilare i tuoi dati.

Puoi utilizzare un account utente esistente, ma devi assicurarti che disponga dei privilegi elencati in questa sezione.

Crea un utente per un'istanza Cloud SQL per MySQL

Questa sezione descrive come creare un account utente MySQL da utilizzare con la profilazione dei dati. Che tu crei un account utente o riutilizzi uno esistente, l'account deve avere il plug-in di autenticazione mysql_native_password. Questa sezione include informazioni su come modificare un account utente del database esistente per utilizzare questo plug-in di autenticazione.

Connettiti all'istanza.
Prepara l'account utente del database.
- Se vuoi creare un utente del database, al prompt mysql esegui il comando seguente:
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Sostituisci quanto segue:
  - USERNAME: il nome utente dell'account utente
  - PASSWORD: la password dell'account utente
  Per maggiori informazioni, consulta l'istruzione CREATE USER nella documentazione di MySQL.
- Se vuoi utilizzare un account utente del database esistente che non utilizza il plug-in di autenticazione mysql_native_password, utilizza il comando ALTER USER per modificare il plug-in di autenticazione dell'account:
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Per saperne di più, consulta l'istruzione ALTER USER nella documentazione di MySQL.
Concedi all'utente i privilegi SELECT e SHOW VIEW.
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
L'output è simile al seguente:
```
Query OK, 0 rows affected (0.00 sec)
```
Per ulteriori informazioni, consulta l'istruzione GRANT nella documentazione di MySQL.
(Facoltativo) Se vuoi che performance_schema.log_status venga profilato, concedi all'utente il privilegio BACKUP_ADMIN. Per saperne di più, consulta MySQL Performance Schema nella documentazione di MySQL.
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
In Secret Manager, crea un secret per archiviare la password. Crea il secret nel progetto che contiene l'istanza di Cloud SQL.

Annota il nome della risorsa secret.

Crea un utente per un'istanza Cloud SQL per PostgreSQL

Per le istanze Cloud SQL per PostgreSQL, Sensitive Data Protection supporta due tipi di account utente:

Un account utente integrato creato tramite PostgreSQL.
Un'entità IAM, in particolare l'agente di servizio associato alla configurazione della scansione.

Opzione 1: crea un account utente integrato in PostgreSQL

Questa sezione descrive come creare un account utente integrato tramite PostgreSQL.

Connettiti all'istanza.
Al prompt postgres, esegui questo comando per creare l'utente:
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
Sostituisci quanto segue:
- USERNAME: il nome utente dell'account utente
- PASSWORD: la password dell'account utente
L'output è simile al seguente:
```
CREATE ROLE
```
Per saperne di più, consulta CREATE USER nella documentazione di PostgreSQL.
Concedi all'utente il ruolo pg_read_all_data:
```
GRANT pg_read_all_data TO USERNAME;
```
L'output è simile al seguente:
```
GRANT ROLE
```
Per saperne di più, consulta GRANT nella documentazione di PostgreSQL.
In Secret Manager, crea un secret per archiviare la password. Crea il secret nel progetto che contiene l'istanza di Cloud SQL.

Annota il nome della risorsa secret.

Opzione 2: aggiungi l'agente di servizio come utente nell'istanza (solo PostgreSQL)

Segui questi passaggi solo se stai configurando un'istanza Cloud SQL per PostgreSQL.

Segui le istruzioni per aggiungere un account di servizio IAM a un database nella documentazione di Cloud SQL per PostgreSQL.

Il account di servizio che fornisci deve essere l'agente di servizio associato alla configurazione della scansione. Per ottenere l'ID agente di servizio, consulta la sezione Recuperare l'ID agente di servizio di questa pagina.
In PostgreSQL, concedi il ruolo pg_read_all_data all'agente di servizio:
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
Sostituisci TRUNCATED_SERVICE_AGENT_ID con l'ID dell'agente di servizio senza il suffisso .gserviceaccount.com, ad esempio service-1234567890@dlp-api.iam.

L'output è simile al seguente:
```
GRANT ROLE
```

Fornire l'accesso alle istanze Cloud SQL

Dopo aver creato la configurazione di scansione, la protezione dei dati sensibili crea automaticamente connessioni di servizio predefinite per ogni istanza nell'ambito del rilevamento. Prima di poter avviare la profilazione, devi modificare ogni connessione al servizio per fornire le credenziali per ogni istanza Cloud SQL.

Per aggiornare una connessione:

Nella console Google Cloud , vai alla pagina Connessioni di servizio.

Vai a Connessioni di servizio

Le tue connessioni vengono visualizzate in un elenco.
Per la connessione che vuoi aggiornare, fai clic su Azioni > Modifica connessione.
Esegui una di queste operazioni:
- Fornire le credenziali dell'account utente
- Utilizza l'agente di servizio come account utente (supportato solo per le istanze Cloud SQL per PostgreSQL)

Dopo aver aggiornato una connessione, la protezione dei dati sensibili tenta di connettersi all'istanza con le credenziali che hai fornito. Se si verifica un errore con una connessione, Sensitive Data Protection tenta automaticamente di connettersi all'istanza. Per ulteriori informazioni, vedi Visualizzare gli errori di connessione in questa pagina.

Fornisci le credenziali dell'account utente

Inserisci il nome utente e la risorsa Secret Manager che contiene la password. La risorsa Secret Manager deve avere il seguente formato:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Sostituisci quanto segue:

PROJECT_NUMBER: l'ID numerico del tuo progetto.
SECRET_NAME: il nome del secret che contiene la password.
VERSION_NUMBER: il numero di versione del secret; per fornire l'ultima versione, utilizza latest.

Utilizzare l'agente di servizio come account utente

Questa opzione è disponibile solo per le istanze Cloud SQL per PostgreSQL.

Per utilizzare l'agente di servizio come account utente, seleziona Autenticazione IAM del database Cloud SQL.

Aggiorna il numero massimo di connessioni simultanee a un'istanza

Per impostazione predefinita, Sensitive Data Protection utilizza un massimo di due connessioni simultanee per ridurre al minimo l'impatto della scoperta sulle istanze Cloud SQL. Ti consigliamo di aumentare questo numero a un valore appropriato in base alle dimensioni e all'utilizzo dell'istanza.

Per saperne di più, consulta Connessioni simultanee massime nella documentazione di Cloud SQL.

Per modificare il limite massimo di connessioni per il servizio di rilevamento, segui questi passaggi:

Nella console Google Cloud , vai alla pagina Connessioni di servizio.

Vai a Connessioni di servizio

Le tue connessioni vengono visualizzate in un elenco.
Per la connessione che vuoi aggiornare, fai clic su Azioni > Modifica connessione.
Nel campo Numero massimo di connessioni, inserisci il nuovo limite.
Fai clic su Fine.

Visualizzare gli errori di connessione

Nella console Google Cloud , vai alla pagina Connessioni di servizio.

Vai a Connessioni di servizio

Le tue connessioni sono elencate. Se una connessione presenta un errore, viene visualizzata con un'icona di errore.
Per la connessione con un errore, fai clic su Azioni > Visualizza errori. Vengono elencati i messaggi di errore associati. Ogni messaggio include il nome della configurazione di scansione che ha richiesto la connessione.
Risolvi l'errore in base alle esigenze. A seconda dell'errore, la risoluzione può comprendere una delle seguenti operazioni:
- Modifica delle credenziali che hai fornito.
- Aggiornamento della password archiviata in Secret Manager.
- Accedere al database e concedere all'utente del database i privilegi richiesti.
- Assegnazione del ruolo IAM specificato all'agente di servizio associato alla configurazione di analisi specificata.

La protezione dei dati sensibili tenta automaticamente di connettersi all'istanza. Se un tentativo di riconnessione va a buon fine, i messaggi di errore vengono cancellati.

Consenti il rilevamento per le istanze senza indirizzo IP pubblico

Per eseguire il rilevamento su un'istanza Cloud SQL senza indirizzo IP pubblico, seleziona l'opzione Abilita percorso privato per l'istanza. Questa opzione consente Google Cloud ai servizi di accedere ai dati in un'istanza Cloud SQL tramite una connessione IP privata.

Per ulteriori informazioni, consulta le seguenti risorse:

Cloud SQL per MySQL: configura l'IP privato per un'istanza esistente
Cloud SQL per PostgreSQL: configura l'IP privato per un'istanza esistente

Passaggi successivi

Scopri come gestire i profili dei dati.