ここでは、サービス エージェントに必要なロールを付与して、組織やフォルダレベルでのデータのプロファイルを作成できるようにする方法について説明します。
次の両方の条件に該当する場合は、これらのタスクを行ってください。
- スキャン構成を組織レベルまたはフォルダレベルで作成した。
機密データの保護によって、スキャン構成のデータ プロファイルが生成されていません。構成の詳細を表示すると、次のエラー メッセージが表示されます。
None of the driver projects (PROJECT_ID) have MISSING_PERMISSION permission for organizations/ORGANIZATION_ID.
サービス エージェントの ID を取得する
スキャン構成に関連付けられているサービス エージェント ID を取得する手順は次のとおりです。
検出スキャン構成リストに移動します。
- スキャン構成を選択します。
- 開いた詳細ページで、サービス エージェント ID をコピーします。この ID はメールアドレスの形式の中にあります。
サービス エージェント ID を Google Cloud 管理者に付与します。その後 Google Cloud 管理者が、サービス エージェントへのデータ プロファイリングのアクセス権を付与する必要があります。
データ プロファイリングへのアクセス権を付与する
ここでは、サービス エージェントに必要な役割を付与して、組織やフォルダレベルでのデータのプロファイルを作成できるようにする方法について説明します。
サービス エージェントに IAM ロールを付与する権限を持つ者(Google Cloud 管理者など)のみが、これらの手順を実行できます。
以下の手順を完了するには、データ プロファイリングへのアクセス権を付与するサービス エージェントの ID が必要です。
組織またはフォルダレベルでデータ プロファイリングのアクセス権を付与するには、次の手順を行います。
Google Cloud コンソールの [IAM] ページに移動します。
プロジェクト ビューが表示されている場合は、組織ビューに切り替えます。ツールバーで、
プロジェクト セレクタをクリックして組織を選択します。[
アクセスを許可] をクリックします。[新しいプリンシパル] フィールドに、サービス エージェント ID を入力します。
DLP 組織データ プロファイル ドライバのロールを付与します。
[保存] をクリックします。