Cloud Data Loss Prevention（Cloud DLP）は機密データの保護の一部になりました。API 名は Cloud Data Loss Prevention API（DLP API）のままです。機密データの保護を構成するサービスについては、機密データの保護の概要をご覧ください。

このページは Cloud Translation API によって翻訳されました。

検出で使用する接続を管理する

このページでは、Cloud SQL の検出を構成するときに Sensitive Data Protection が作成する接続の操作方法について説明します。

サービスエージェント ID を取得する

このページの手順を実行するには、スキャン構成に関連付けられたサービスエージェントの ID が必要です。サービスエージェント ID を取得する手順は次のとおりです。

検出スキャン構成リストに移動します。

検出スキャンの構成に移動
スキャン構成を選択します。
開いた詳細ページで、サービスエージェント ID をコピーします。この ID はメールアドレスの形式の中にあります。

サービスエージェントに必要な IAM ロールを付与する

スキャン構成に関連付けられたサービスエージェントに、必要なドライバロールがあることを確認します。
- 検出オペレーションのスコープが組織全体またはフォルダである場合は、サービスエージェントに DLP 組織データプロファイルドライバ（roles/dlp.orgdriver）のロールがあることを確認してください。
- 検出オペレーションのスコープが単一プロジェクトである場合は、サービスエージェントに DLP プロジェクトデータプロファイルドライバ（roles/dlp.projectdriver）のロールがあることを確認してください。
サービスエージェントに Secret Manager のシークレットアクセサー（roles/secretmanager.secretAccessor）のロールを付与します。

サービスエージェント ID を取得するには、このページのサービスエージェント ID を取得するをご覧ください。

詳細については、Identity and Access Management のドキュメントのサービスエージェントにロールを付与するをご覧ください。

各 Cloud SQL インスタンスのユーザーを作成する

検出の対象となるインスタンスごとに、データのプロファイリングに必要な権限を持つユーザーアカウントを作成します。

既存のユーザーアカウントを使用できますが、このセクションに記載されている権限がアカウントに付与されていることを確認する必要があります。

Cloud SQL for MySQL インスタンスのユーザーを作成する

このセクションでは、データプロファイリングで使用する MySQL ユーザーアカウントを作成する方法について説明します。ユーザーアカウントを作成する場合でも、既存のアカウントを再利用する場合でも、アカウントに mysql_native_password 認証プラグインが必要です。このセクションでは、この認証プラグインを使用するように既存のデータベースユーザーアカウントを変更する方法について説明します。

インスタンスに接続します。
データベースユーザーアカウントを準備します。
- データベースユーザーを作成する場合は、mysql プロンプトで次のコマンドを実行します。
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  次のように置き換えます。
  - USERNAME: ユーザーアカウントのユーザー名
  - PASSWORD: ユーザーアカウントのパスワード
  詳細については、MySQL ドキュメントで CREATE USER ステートメントをご覧ください。
- mysql_native_password 認証プラグインを使用していない既存のデータベースユーザーアカウントを使用する場合は、ALTER USER コマンドを使用してそのアカウントの認証プラグインを変更します。
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  詳細については、MySQL ドキュメントで ALTER USER ステートメントをご覧ください。
ユーザーに SELECT 権限と SHOW VIEW 権限を付与します。
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
出力は次のようになります。
```
Query OK, 0 rows affected (0.00 sec)
```
詳細については、MySQL ドキュメントの GRANT ステートメントをご覧ください。
省略可: performance_schema.log_status のプロファイリングを行う場合は、ユーザーに BACKUP_ADMIN 権限を付与します。詳細については、MySQL ドキュメントの MySQL パフォーマンススキーマをご覧ください。
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
Secret Manager で、パスワードを保存するシークレットを作成します。Cloud SQL インスタンスを含むプロジェクトにシークレットを作成します。

Secret のリソース名をメモします。

Cloud SQL for PostgreSQL インスタンスのユーザーを作成する

Cloud SQL for PostgreSQL インスタンスの場合、Sensitive Data Protection は次の 2 種類のユーザーアカウントをサポートします。

PostgreSQL で作成された組み込みのユーザーアカウント。
IAM プリンシパル（具体的には、スキャン構成に関連付けられているサービスエージェント）。

オプション 1: PostgreSQL に組み込みユーザーアカウントを作成する

このセクションでは、PostgreSQL を使用して組み込みユーザーアカウントを作成する方法について説明します。

インスタンスに接続します。
postgres プロンプトで、次のコマンドを実行してユーザーを作成します。
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
次のように置き換えます。
- USERNAME: ユーザーアカウントのユーザー名
- PASSWORD: ユーザーアカウントのパスワード
出力は次のようになります。
```
CREATE ROLE
```
詳細については、PostgreSQL ドキュメントの CREATE USER をご覧ください。
ユーザーに pg_read_all_data ロールを付与します。
```
GRANT pg_read_all_data TO USERNAME;
```
出力は次のようになります。
```
GRANT ROLE
```
詳細については、PostgreSQL ドキュメントの GRANT をご覧ください。
Secret Manager で、パスワードを保存するシークレットを作成します。Cloud SQL インスタンスを含むプロジェクトにシークレットを作成します。

Secret のリソース名をメモします。

オプション 2: サービスエージェントをインスタンスのユーザーとして追加する（PostgreSQL のみ）

この手順は、Cloud SQL for PostgreSQL インスタンスを構成する場合にのみ行います。

Cloud SQL for PostgreSQL のドキュメントで、IAM サービスアカウントをデータベースに追加する手順に沿って操作します。

指定するサービスアカウントは、スキャン構成に関連付けられているサービスエージェントである必要があります。サービスエージェント ID を取得するには、このページのサービスエージェント ID を取得するをご覧ください。
PostgreSQL で、サービスエージェントに pg_read_all_data ロールを付与します。
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
TRUNCATED_SERVICE_AGENT_ID は、.gserviceaccount.com 接尾辞のないサービスエージェント ID に置き換えます（例: service-1234567890@dlp-api.iam）。

出力は次のようになります。
```
GRANT ROLE
```

Cloud SQL インスタンスへのアクセス権を付与する

スキャン構成を作成すると、Sensitive Data Protection が検出の範囲のインスタンスごとに、デフォルトのサービス接続が自動的に作成されます。プロファイリングを開始する前に、各サービス接続を編集して、各 Cloud SQL インスタンスの認証情報を指定する必要があります。

接続を更新する方法は次のとおりです。

Google Cloud コンソールで、[サービス接続] のページに移動します。

[サービス接続] に移動

接続がリストに表示されます。
更新する接続で、[ アクション] > [接続を編集] をクリックします。
次のいずれかを行います。
- ユーザーアカウントの認証情報を提供する
- サービスエージェントをユーザーアカウントとして使用する（Cloud SQL for PostgreSQL インスタンスでのみサポート）

接続を更新すると、Sensitive Data Protection は指定された認証情報を使用してインスタンスへの接続を試みます。接続エラーが発生した場合、Sensitive Data Protection はインスタンスへの接続を自動的に再試行します。詳細については、このページの接続エラーを表示するをご覧ください。

ユーザーアカウントの認証情報を提供する

ユーザー名と、パスワードを含む Secret Manager リソースを入力します。Secret Manager リソースの形式は次のとおりです。

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

次のように置き換えます。

PROJECT_NUMBER: プロジェクトの数値 ID。
SECRET_NAME: パスワードを含む Secret の名前。
VERSION_NUMBER: Secret のバージョン番号。最新バージョンを指定するには、latest を使用します。

サービスエージェントをユーザーアカウントとして使用する

このオプションは、Cloud SQL for PostgreSQL インスタンスでのみ使用できます。

サービスエージェントをユーザーアカウントとして使用するには、[Cloud SQL IAM データベース認証] を選択します。

インスタンスへの同時接続の最大数を更新する

デフォルトでは、Sensitive Data Protection は最大 2 つの同時接続を使用して、Cloud SQL インスタンスに対する検出の影響を最小限に抑えます。この数値は、インスタンスのサイズと使用率に基づいて適切な値に増やすことをおすすめします。

詳細については、Cloud SQL ドキュメントの最大同時接続数をご覧ください。

検出サービスの最大接続数を変更する手順は次のとおりです。

Google Cloud コンソールで、[サービス接続] のページに移動します。

[サービス接続] に移動

接続がリストに表示されます。
更新する接続で、[ アクション] > [接続を編集] をクリックします。
[最大接続数] フィールドに新しい上限を入力します。
[完了] をクリックします。

接続エラーを表示する

Google Cloud コンソールで、[サービス接続] のページに移動します。

[サービス接続] に移動

接続が一覧表示されます。接続にエラーがある場合は、エラーアイコンが表示されます。
エラーのある接続で、[ アクション] > [エラーを表示] をクリックします。関連するエラーメッセージが表示されます。各メッセージには、接続をリクエストしたスキャン構成の名前が含まれます。
必要に応じてエラーを解決します。エラーに応じて、解決策には次のいずれかが必要になる場合があります。
- 指定した認証情報を編集する。
- Secret Manager に保存されているパスワードの更新。
- データベースにログインし、データベースユーザーに必要な権限を付与します。
- 指定されたスキャン構成に関連付けられたサービスエージェントに、指定された IAM ロールを割り当てる。

機密データの保護は、インスタンスへの接続を自動的に再試行します。再接続の試行が成功すると、エラーメッセージは消去されます。

パブリック IP アドレスのないインスタンスの検出を許可する

パブリック IP アドレスのない Cloud SQL インスタンスで検出を実行するには、そのインスタンスの [プライベートパスを有効にする] オプションを選択します。このオプションを使用すると、Google Cloud サービスはプライベート IP 接続を介して Cloud SQL インスタンス内のデータにアクセスできます。

詳しくは以下をご覧ください。

Cloud SQL for MySQL: 既存のインスタンスにプライベート IP を構成する
Cloud SQL for PostgreSQL: 既存のインスタンスにプライベート IP を構成する

次のステップ

データプロファイルを管理する方法を学習します。