Questa pagina descrive come utilizzare le connessioni create da Sensitive Data Protection quando configuri il rilevamento per Cloud SQL.
Recuperare l'ID agente di servizio
Per eseguire le procedure in questa pagina, devi disporre dell'ID dell'agente di servizio associato alla configurazione della scansione. Per ottenere l'ID agente di servizio:
Vai all'elenco delle configurazioni di scansione del rilevamento.
- Seleziona la configurazione della scansione.
- Nella pagina dei dettagli che si apre, copia l'ID agente di servizio. Questo ID è nel formato di un indirizzo email.
Concedi i ruoli IAM richiesti all'agente di servizio
Assicurati che l'agente di servizio associato alla configurazione della scansione abbia il ruolo del driver richiesto:
- Se l'ambito dell'operazione di rilevamento è l'intera organizzazione o una
cartella, assicurati che l'agente di servizio disponga del ruolo Driver per i profili di dati dell'organizzazione DLP (
roles/dlp.orgdriver
). - Se l'ambito dell'operazione di rilevamento è un singolo progetto, assicurati che l'agente di servizio disponga del ruolo DLP Project Data Profiles Driver (
roles/dlp.projectdriver
).
- Se l'ambito dell'operazione di rilevamento è l'intera organizzazione o una
cartella, assicurati che l'agente di servizio disponga del ruolo Driver per i profili di dati dell'organizzazione DLP (
Concedi all'agente di servizio il ruolo Secret Manager Secret Accessor (
roles/secretmanager.secretAccessor
).
Per recuperare l'ID agente di servizio, consulta la sezione Ottenere l'ID agente di servizio in questa pagina.
Per ulteriori informazioni, vedi Assegnare i ruoli agli agenti di servizio nella documentazione di Identity and Access Management.
Crea un utente per ogni istanza Cloud SQL
Per ogni istanza che rientra nell'ambito della scoperta, crea un account utente che abbia i privilegi necessari per creare il profilo dei tuoi dati.
Puoi utilizzare un account utente esistente, ma devi assicurarti che disponga dei privilegi elencati in questa sezione.
Creare un utente per un'istanza Cloud SQL per MySQL
Questa sezione descrive come creare un account utente MySQL da utilizzare con la definizione del profilo dei dati. Che tu crei un account utente o ne riutilizzi uno esistente,
l'account deve avere il
plug-in di autenticazione mysql_native_password
.
Questa sezione include informazioni su come modificare un account utente del database esistente per utilizzare questo plug-in di autenticazione.
- Connettiti all'istanza.
Prepara l'account utente del database.
Se vuoi creare un utente del database, al prompt
mysql
esegui il seguente comando:CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Sostituisci quanto segue:
USERNAME
: il nome utente dell'account utentePASSWORD
: la password dell'account utente
Per ulteriori informazioni, consulta Comando CREATE USER nella documentazione di MySQL.
Se vuoi utilizzare un account utente del database esistente che non utilizza il plug-in di autenticazione
mysql_native_password
, utilizza il comandoALTER USER
per modificare il plug-in di autenticazione dell'account:ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Per ulteriori informazioni, consulta l'istruzione ALTER USER nella documentazione di MySQL.
Concedi all'utente i privilegi
SELECT
eSHOW VIEW
.GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
L'output è simile al seguente:
Query OK, 0 rows affected (0.00 sec)
Per ulteriori informazioni, consulta l'istruzione GRANT nella documentazione di MySQL.
(Facoltativo) Se vuoi che
performance_schema.log_status
venga profilato, concedi all'utente il privilegioBACKUP_ADMIN
. Per saperne di più, consulta Schema delle prestazioni di MySQL nella documentazione di MySQL.GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
In Secret Manager, crea un secret per archiviare la password. Crea il segreto nel progetto che contiene l'istanza Cloud SQL.
Annota il nome della risorsa del secret.
Creare un utente per un'istanza Cloud SQL per PostgreSQL
Per le istanze Cloud SQL per PostgreSQL, Sensitive Data Protection supporta due tipi di account utente:
- Un account utente integrato creato tramite PostgreSQL.
- Un'entità IAM, nello specifico l'agente di servizio associato alla configurazione della scansione.
Opzione 1: crea un account utente integrato in PostgreSQL
Questa sezione descrive come creare un account utente integrato tramite PostgreSQL.
- Connettiti all'istanza.
Al prompt
postgres
, esegui il seguente comando per creare l'utente:CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
Sostituisci quanto segue:
USERNAME
: il nome utente dell'account utentePASSWORD
: la password dell'account utente
L'output è simile al seguente:
CREATE ROLE
Per ulteriori informazioni, consulta CREATE USER nella documentazione di PostgreSQL.
Concedi il ruolo
pg_read_all_data
all'utente:GRANT pg_read_all_data TO USERNAME;
L'output è simile al seguente:
GRANT ROLE
Per ulteriori informazioni, consulta GRANT nella documentazione di PostgreSQL.
In Secret Manager, crea un secret per archiviare la password. Crea il segreto nel progetto che contiene l'istanza Cloud SQL.
Annota il nome della risorsa del secret.
Opzione 2: aggiungi l'agente di servizio come utente nell'istanza (solo PostgreSQL)
Segui questi passaggi solo se stai configurando un'istanza Cloud SQL per PostgreSQL.
Segui le istruzioni per aggiungere un account di servizio IAM a un database nella documentazione di Cloud SQL per PostgreSQL.
L'account di servizio fornito deve essere l'agente di servizio associato alla configurazione della scansione. Per ottenere l'ID agente di servizio, consulta la sezione Ottenere l'ID agente di servizio in questa pagina.
In PostgreSQL, concedi il ruolo
pg_read_all_data
all'agente di servizio:GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
Sostituisci
TRUNCATED_SERVICE_AGENT_ID
con l'ID agente di servizio senza il suffisso.gserviceaccount.com
, ad esempioservice-1234567890@dlp-api.iam
.L'output è simile al seguente:
GRANT ROLE
Fornire l'accesso alle istanze Cloud SQL
Dopo aver creato la configurazione di scansione, la protezione dei dati sensibili crea automaticamente connessioni di servizio predefinite per ogni istanza nell'ambito del rilevamento. Prima di poter iniziare il profiling, devi modificare ogni connessione al servizio per fornire le credenziali per ogni istanza Cloud SQL.
Per aggiornare una connessione:
Nella console Google Cloud, vai alla pagina Connessioni di servizio.
Le tue connessioni vengono visualizzate in un elenco.
Per la connessione che vuoi aggiornare, fai clic su > Modifica connessione.
AzioniEsegui una di queste operazioni:
- Fornire le credenziali dell'account utente
- Utilizzare l'agente di servizio come account utente (supportato solo per le istanze Cloud SQL per PostgreSQL)
Dopo aver aggiornato una connessione, la funzionalità Protezione dei dati sensibili tenta di connettersi all'istanza con le credenziali che hai fornito. Se si verifica un errore con una connessione, Sensitive Data Protection tenta automaticamente di nuovo di connettersi all'istanza. Per ulteriori informazioni, vedi Visualizzare gli errori di connessione in questa pagina.
Fornisci le credenziali dell'account utente
Inserisci il nome utente e la risorsa Secret Manager contenente la password. La risorsa Secret Manager deve essere nel seguente formato:
projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER
Sostituisci quanto segue:
PROJECT_NUMBER
: l'ID numerico del progetto.SECRET_NAME
: il nome del secret che contiene la password.VERSION_NUMBER
: il numero di versione del secret. Per fornire la versione più recente, utilizzalatest
.
Utilizzare l'agente di servizio come account utente
Questa opzione è disponibile solo per le istanze Cloud SQL per PostgreSQL.
Per utilizzare l'agente di servizio come account utente, seleziona Autenticazione del database IAM Cloud SQL.
Aggiornare il numero massimo di connessioni simultanee a un'istanza
Per impostazione predefinita, Sensitive Data Protection utilizza un massimo di due connessioni contemporaneamente per ridurre al minimo l'impatto della rilevazione sulle istanze Cloud SQL. Ti consigliamo di aumentare questo numero a un valore appropriato in base alle dimensioni e all'utilizzo dell'istanza.
Per ulteriori informazioni, consulta Connessioni conturrenti massime nella documentazione di Cloud SQL.
Per modificare il limite massimo di connessioni per il servizio di discovery:
Nella console Google Cloud, vai alla pagina Connessioni di servizio.
Le tue connessioni vengono visualizzate in un elenco.
Per la connessione che vuoi aggiornare, fai clic su > Modifica connessione.
AzioniNel campo Numero massimo di connessioni, inserisci il nuovo limite.
Fai clic su Fine.
Visualizzare gli errori di connessione
Nella console Google Cloud, vai alla pagina Connessioni di servizio.
Le tue connessioni sono elencate. Se una connessione presenta un errore, viene visualizzata con un'icona di errore.
Per la connessione con un errore, fai clic su > Visualizza errori. Vengono elencati i messaggi di errore associati. Ogni messaggio include il nome della configurazione di scansione che ha richiesto la connessione.
AzioniRisolvi l'errore in base alle necessità. A seconda dell'errore, la risoluzione può coinvolgere una delle seguenti operazioni:
- Modifica delle credenziali fornite.
- Aggiornamento della password archiviata in Secret Manager.
- Accedi al database e concedi all'utente del database i privilegi richiesti.
- Assegna il ruolo IAM specificato all'agente di servizio associato alla configurazione di scansione specificata.
Sensitive Data Protection tenta automaticamente di connettersi all'istanza. Se un tentativo di ricollegamento va a buon fine, i messaggi di errore vengono cancellati.
Consenti il rilevamento per le istanze senza indirizzo IP pubblico
Per eseguire il rilevamento su un'istanza Cloud SQL senza indirizzo IP pubblico, selezionate l'opzione Abilita percorso privato per l'istanza. Questa opzione consente ai servizi Google Cloud di accedere ai dati di un'istanza Cloud SQL tramite una connessione IP privata.
Per ulteriori informazioni, consulta le seguenti risorse:
- Cloud SQL per MySQL: configura l'IP privato per un'istanza esistente
- Cloud SQL per PostgreSQL: configurare l'IP privato per un'istanza esistente
Passaggi successivi
- Scopri come gestire i profili dei dati.