Cloud Data Loss Prevention（Cloud DLP）は機密データの保護の一部になりました。API 名は Cloud Data Loss Prevention API（DLP API）のままです。機密データの保護を構成するサービスについては、機密データの保護の概要をご覧ください。

このページは Cloud Translation API によって翻訳されました。

検出で使用する接続を管理する

このページでは、Cloud SQL の検出を構成するときに Sensitive Data Protection が作成する接続の操作方法について説明します。

サービスエージェント ID を取得する

このページの手順を行うには、スキャン構成に関連付けられたサービスエージェントの ID が必要です。サービスエージェント ID を取得する手順は次のとおりです。

検出スキャン構成リストに移動します。

検出スキャンの構成に移動
ツールバーで、組織を選択します。
スキャン構成を選択します。
[スキャン構成の詳細] ページで、[サービスエージェント] フィールドの値をコピーします。サービスエージェント ID はメールアドレスの形式です。

サービスエージェントに必要な IAM ロールを付与する

スキャン構成に関連付けられたサービスエージェントに、必要なドライバロールがあることを確認します。
- 検出オペレーションのスコープが組織全体またはフォルダである場合は、サービスエージェントに DLP 組織データプロファイルドライバ（roles/dlp.orgdriver）のロールがあることを確認してください。
- 検出オペレーションのスコープが単一プロジェクトである場合は、サービスエージェントに DLP プロジェクトデータプロファイルドライバ（roles/dlp.projectdriver）のロールがあることを確認してください。
サービスエージェントに Secret Manager のシークレットアクセサー（roles/secretmanager.secretAccessor）のロールを付与します。

サービスエージェント ID を取得するには、このページのサービスエージェント ID を取得するをご覧ください。

詳細については、Identity and Access Management のドキュメントのサービスエージェントにロールを付与するをご覧ください。

各 Cloud SQL インスタンスのユーザーを作成する

検出のスコープ内のインスタンスごとに、データのプロファイリングに必要な権限を持つユーザーアカウントを作成します。

既存のユーザーアカウントを使用できますが、このセクションに記載されている権限がアカウントに付与されていることを確認する必要があります。

Cloud SQL for MySQL インスタンスのユーザーを作成する

このセクションでは、データプロファイリングで使用する MySQL ユーザーアカウントを作成する方法について説明します。ユーザーアカウントを作成する場合でも、既存のアカウントを再利用する場合でも、アカウントには mysql_native_password 認証プラグインが必要です。このセクションでは、この認証プラグインを使用するように既存のデータベースユーザーアカウントを変更する方法について説明します。

インスタンスに接続します。
データベースユーザーアカウントを準備します。
- データベースユーザーを作成する場合は、mysql プロンプトで次のコマンドを実行します。
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  次のように置き換えます。
  - USERNAME: ユーザーアカウントのユーザー名
  - PASSWORD: ユーザーアカウントのパスワード
  詳細については、MySQL ドキュメントで CREATE USER ステートメントをご覧ください。
- mysql_native_password 認証プラグインを使用していない既存のデータベースユーザーアカウントを使用する場合は、ALTER USER コマンドを使用して、そのアカウントの認証プラグインを変更します。
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  詳細については、MySQL ドキュメントで ALTER USER ステートメントをご覧ください。
ユーザーに SELECT 権限と SHOW VIEW 権限を付与します。
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
出力は次のようになります。
```
Query OK, 0 rows affected (0.00 sec)
```
詳細については、MySQL ドキュメントの GRANT ステートメントをご覧ください。
省略可: performance_schema.log_status をプロファイリングする場合は、ユーザーに BACKUP_ADMIN 権限を付与します。詳細については、MySQL ドキュメントの MySQL パフォーマンススキーマをご覧ください。
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
Secret Manager で、パスワードを保存するシークレットを作成します。Cloud SQL インスタンスを含むプロジェクトにシークレットを作成します。

Secret のリソース名をメモします。

Cloud SQL for PostgreSQL インスタンスのユーザーを作成する

Cloud SQL for PostgreSQL インスタンスの場合、Sensitive Data Protection は次の 2 種類のユーザーアカウントをサポートします。

PostgreSQL を介して作成された組み込みのユーザーアカウント。
IAM プリンシパル（具体的には、スキャン構成に関連付けられたサービスエージェント）。

オプション 1: PostgreSQL で組み込みのユーザーアカウントを作成する

このセクションでは、PostgreSQL を使用して組み込みユーザーアカウントを作成する方法について説明します。

インスタンスに接続します。
postgres プロンプトで、次のコマンドを実行してユーザーを作成します。
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
次のように置き換えます。
- USERNAME: ユーザーアカウントのユーザー名
- PASSWORD: ユーザーアカウントのパスワード
出力は次のようになります。
```
CREATE ROLE
```
詳細については、PostgreSQL ドキュメントの CREATE USER をご覧ください。
ユーザーに pg_read_all_data ロールを付与します。
```
GRANT pg_read_all_data TO USERNAME;
```
出力は次のようになります。
```
GRANT ROLE
```
詳細については、PostgreSQL ドキュメントの GRANT をご覧ください。
Secret Manager で、パスワードを保存するシークレットを作成します。Cloud SQL インスタンスを含むプロジェクトにシークレットを作成します。

Secret のリソース名をメモします。

オプション 2: サービスエージェントをインスタンスのユーザーとして追加する（PostgreSQL のみ）

次の手順は、Cloud SQL for PostgreSQL インスタンスを構成する場合にのみ実行してください。

Cloud SQL for PostgreSQL のドキュメントに記載されている手順に沿って、IAM サービスアカウントをデータベースに追加します。

指定するサービスアカウントは、スキャン構成に関連付けられたサービスエージェントである必要があります。サービスエージェント ID を取得するには、このページのサービスエージェント ID を取得するをご覧ください。
PostgreSQL で、サービスエージェントに pg_read_all_data ロールを付与します。
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
TRUNCATED_SERVICE_AGENT_ID は、.gserviceaccount.com 接尾辞のないサービスエージェント ID（service-1234567890@dlp-api.iam など）に置き換えます。

出力は次のようになります。
```
GRANT ROLE
```

Cloud SQL インスタンスへのアクセス権を付与する

スキャン構成を作成すると、Sensitive Data Protection が検出の範囲のインスタンスごとに、デフォルトのサービス接続が自動的に作成されます。プロファイリングを開始する前に、各サービス接続を編集して、各 Cloud SQL インスタンスの認証情報を指定する必要があります。

接続を更新する方法は次のとおりです。

Google Cloud コンソールで、[サービス接続] ページに移動します。

[サービス接続] に移動

接続がリストに表示されます。
更新する接続で、[ アクション] > [接続を編集] をクリックします。
次のいずれかを行います。
- ユーザーアカウントの認証情報を提供する
- サービスエージェントをユーザーアカウントとして使用する（Cloud SQL for PostgreSQL インスタンスでのみサポート）

接続を更新すると、Sensitive Data Protection は、指定した認証情報を使用してインスタンスへの接続を試みます。接続でエラーが発生した場合、機密データの保護はインスタンスへの接続を自動的に再試行します。詳細については、このページの接続エラーを表示するをご覧ください。

ユーザーアカウントの認証情報を提供する

ユーザー名と、パスワードを含む Secret Manager リソースを入力します。Secret Manager リソースは次の形式にする必要があります。

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

次のように置き換えます。

PROJECT_NUMBER: プロジェクトの数値 ID。
SECRET_NAME: パスワードを含む Secret の名前。
VERSION_NUMBER: Secret のバージョン番号。最新バージョンを指定するには、latest を使用します。

サービスエージェントをユーザーアカウントとして使用する

このオプションは、Cloud SQL for PostgreSQL インスタンスでのみ使用できます。

サービスエージェントをユーザーアカウントとして使用するには、[Cloud SQL IAM データベース認証] を選択します。

インスタンスへの同時接続の最大数を更新する

デフォルトでは、Sensitive Data Protection は最大 2 つの同時接続を使用して、Cloud SQL インスタンスに対する検出の影響を最小限に抑えます。インスタンスのサイズと使用率に基づいて、この数値を適切な値に増やすことをおすすめします。

詳細については、Cloud SQL ドキュメントの最大同時接続数をご覧ください。

検出サービスの最大接続数を変更する手順は次のとおりです。

Google Cloud コンソールで、[サービス接続] ページに移動します。

[サービス接続] に移動

接続がリストに表示されます。
更新する接続で、[ アクション] > [接続を編集] をクリックします。
[最大接続数] フィールドに新しい上限を入力します。
[完了] をクリックします。

接続エラーを表示する

Google Cloud コンソールで、[サービス接続] ページに移動します。

[サービス接続] に移動

接続が一覧表示されます。接続にエラーがある場合は、エラーアイコンとともに表示されます。
エラーが発生した接続で、[ アクション] > [エラーを表示] をクリックします。関連するエラーメッセージが一覧表示されます。各メッセージには、接続をリクエストしたスキャン構成の名前が含まれます。
必要に応じてエラーを解決します。エラーに応じて、次のいずれかの解決策を試してください。
- 提供された認証情報の編集。
- Secret Manager に保存されているパスワードを更新します。
- データベースにログインし、データベースユーザーに必要な権限を付与します。
- 指定されたスキャン構成に関連付けられたサービスエージェントに、指定された IAM ロールを割り当てます。

Sensitive Data Protection は、インスタンスへの接続を自動的に再試行します。再接続の試行が成功すると、エラーメッセージはクリアされます。

パブリック IP アドレスのないインスタンスの検出を許可する

パブリック IP アドレスのない Cloud SQL インスタンスで検出を実行するには、そのインスタンスの [プライベートパスを有効にする] オプションを選択します。このオプションを使用すると、 Google Cloud サービスはプライベート IP 接続を介して Cloud SQL インスタンス内のデータにアクセスできます。

詳しくは以下をご覧ください。

Cloud SQL for MySQL: 既存のインスタンスにプライベート IP を構成する
Cloud SQL for PostgreSQL: 既存のインスタンスにプライベート IP を構成する

次のステップ

データプロファイルを管理する方法を学習します。