Questa pagina mostra come risolvere i problemi relativi al servizio di rilevamento di Sensitive Data Protection. Per ulteriori informazioni sul servizio di rilevamento, consulta Profili dei dati.
L'agente di servizio non dispone dell'autorizzazione per leggere una colonna con accesso controllato
Questo problema si verifica quando viene creato il profilo di una tabella che applica la sicurezza a livello di colonna tramite i tag delle norme. Se l'agente di servizio non dispone dell'autorizzazione per accedere alla colonna con limitazioni, la Protezione dei dati sensibili mostra il seguente errore:
Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.
Per risolvere il problema, nella pagina Identity and Access Management (IAM), concedi al tuo agente di servizio il ruolo Lettore granulare.
Sensitive Data Protection tenta periodicamente di eseguire la profilazione dei dati per i quali non è riuscita a eseguire la profilazione.
Per ulteriori informazioni sulla concessione di un ruolo, consulta Concedere un singolo ruolo.
L'agente di servizio non ha accesso alla profilazione dei dati
Questo problema si verifica dopo che un utente della tua organizzazione crea una configurazione di scansione a livello di organizzazione o di cartella. Quando visualizzi i dettagli della configurazione della ricerca, noti che il valore di Stato ricerca è Attivo con errori. Quando visualizzi l'errore, la Protezione dei dati sensibili mostra il seguente messaggio di errore:
None of the driver projects (PROJECT_ID) have MISSING_PERMISSION permission for organizations/ORGANIZATION_ID.
Questo errore si è verificato perché Sensitive Data Protection non è stato in grado di concedere automaticamente il ruolo Gestore dei profili dei dati dell'organizzazione DLP all'agente di servizio durante la creazione della configurazione di scansione. Il creatore della configurazione della scansione non dispone delle autorizzazioni per concedere l'accesso alla profilazione dei dati, pertanto la Protezione dei dati sensibili non è stata in grado di farlo per suo conto.
Per risolvere il problema, consulta Concedere l'accesso alla profilazione dei dati a un agente di servizio.
L'account di servizio non dispone dell'autorizzazione per eseguire query su una tabella
Questo problema si verifica quando Sensitive Data Protection tenta di creare il profilo di una tabella su cui l'agente di servizio non ha l'autorizzazione per eseguire query. Sensitive Data Protection mostra il seguente errore:
Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query table TABLE. Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query TABLE. [TIMESTAMP]
Per risolvere il problema, segui questi passaggi:
Verifica che la tabella esista ancora. Se la tabella esiste, svolgi i passaggi successivi.
Attiva Cloud Shell.
Se ti viene chiesto di autorizzare Cloud Shell, fai clic su Autorizza.
In alternativa, se vuoi utilizzare lo strumento a riga di comando
bq
da Google Cloud CLI, installa e inizializza Google Cloud CLI.Recupera il criterio IAM corrente per la tabella e stampalo in
stdout
:bq get-iam-policy TABLE
Sostituisci TABLE con il nome completo della risorsa della tabella BigQuery, nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio
project-id:dataset-id.table-id
.Concedi all'agente di servizio il ruolo Agente di servizio API DLP (
roles/dlp.serviceAgent
):bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \ --role=roles/dlp.serviceAgent TABLE
Sostituisci quanto segue:
- SERVICE_AGENT_ID: l'ID dell'agente di servizio che deve eseguire query sulla tabella, ad esempio
service-0123456789@dlp-api.iam.gserviceaccount.com
. TABLE: il nome completo della risorsa della tabella BigQuery, nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio
project-id:dataset-id.table-id
.L'output è simile al seguente:
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE': { "bindings": [ { "members": [ "serviceAccount:SERVICE_AGENT_ID" ], "role": "roles/dlp.serviceAgent" } ], "etag": "BwXNAPbVq+A=", "version": 1 }
Sensitive Data Protection tenta periodicamente di eseguire la profilazione dei dati per i quali non è riuscita a eseguire la profilazione.
- SERVICE_AGENT_ID: l'ID dell'agente di servizio che deve eseguire query sulla tabella, ad esempio
L'account di servizio non dispone dell'autorizzazione per pubblicare in un argomento Pub/Sub
Questo problema si verifica quando Sensitive Data Protection tenta di pubblicare notifiche in un argomento Pub/Sub in cui l'agente di servizio non ha accesso alla pubblicazione. Sensitive Data Protection mostra il seguente errore:
Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'. The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.
Per risolvere il problema, concedi l'accesso in qualità di editor a livello di progetto o argomento al tuo agente di servizio. Un esempio di ruolo che ha accesso alla pubblicazione è il ruolo Publisher Pub/Sub.
Se si verificano problemi di configurazione o autorizzazione con l'argomento Pub/Sub, la Protezione dei dati sensibili riprova a inviare la notifica Pub/Sub per un massimo di due settimane. Dopo due settimane, la notifica viene eliminata.
Il modello di ispezione non può essere utilizzato per creare il profilo dei dati in una regione diversa
Questo problema si verifica quando Sensitive Data Protection tenta di creare il profilo dei dati che non si trovano nella stessa regione del modello di ispezione. Sensitive Data Protection mostra il seguente errore:
Data in region DATA_REGION cannot be profiled using template in region TEMPLATE_REGION. Regional template can only be used to profile data in the same region. If profiling data in multiple regions, use a global template.
In questo messaggio di errore, DATA_REGION è la regione in cui si trovano i dati e TEMPLATE_REGION è la regione in cui si trova il modello di ispezione.
Per risolvere il problema, puoi copiare il modello specifico per la regione nella regione global
:
Nella pagina Dettagli del modello di ispezione, copia il nome completo della risorsa del modello. Il nome completo della risorsa segue questo formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
Modifica la configurazione della scansione e inserisci il nome completo della risorsa del nuovo modello di ispezione.
Fai clic su Salva.
Sensitive Data Protection tenta periodicamente di eseguire la profilazione dei dati per i quali non è riuscita a eseguire la profilazione.
Sensitive Data Protection ha tentato di creare il profilo di una tabella non supportata
Questo problema si verifica quando Sensitive Data Protection tenta di profilare una tabella che non è supportata. Per questa tabella, ottieni comunque un profilo parziale contenente i metadati della tabella. Tuttavia, il profilo parziale mostra il seguente errore:
Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].
Se non vuoi ricevere profili parziali ed errori per le tabelle non supportate, segui questi passaggi:
- Modifica la configurazione della scansione.
- Nel passaggio Gestisci pianificazioni, fai clic su Modifica pianificazione.
- Nel riquadro visualizzato, fai clic sulla scheda Condizioni.
- Nella sezione Tabelle da profilare, fai clic su Profila le tabelle supportate.
Per saperne di più, consulta Gestire le pianificazioni.
Il report di Looker predefinito non viene caricato correttamente
Consulta Risolvere gli errori con il report predefinito.
Problemi relativi al tagging automatico in base alla sensibilità dei dati
Consulta la sezione Risolvere i problemi relativi agli errori nella documentazione per il controllo dell'accesso IAM alle risorse in base alla sensibilità dei dati.