Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der API-Name bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die den Datenschutz enthalten, finden Sie in dieser Übersicht.

Verbindungen zur Verwendung mit Erkennung verwalten

Auf dieser Seite wird beschrieben, wie Sie mit den Verbindungen arbeiten, die der Schutz sensibler Daten herstellt, wenn Sie die Erkennung für Cloud SQL konfigurieren.

Dienst-Agent-ID abrufen

Sie benötigen die ID des Dienst-Agents, der Ihrer Scankonfiguration zugeordnet ist, um die Verfahren auf dieser Seite ausführen zu können. So rufen Sie die Dienst-Agent-ID ab:

Rufen Sie die Konfigurationsliste für den Discovery-Scan auf.

Zu den Konfigurationen für Discovery-Scans
Wählen Sie Ihre Scankonfiguration aus.
Kopieren Sie auf der daraufhin angezeigten Detailseite die Service-Agent-ID. Die ID hat das Format einer E-Mail-Adresse.

Gewähren Sie dem Dienst-Agent die erforderlichen IAM-Rollen

Prüfen Sie, ob der mit Ihrer Scankonfiguration verknüpfte Dienst-Agent die erforderliche Treiberrolle hat:
- Wenn der Erkennungsvorgang die gesamte Organisation oder einen Ordner umfasst, muss der Dienst-Agent die Rolle „DLP Organization Data Profiles Driver“ (roles/dlp.orgdriver) haben.
- Wenn der Erkennungsvorgang ein einzelnes Projekt umfasst, muss der Dienst-Agent die Rolle „DLP Project Data Profiles Driver“ (roles/dlp.projectdriver) haben.
Gewähren Sie dem Dienst-Agent die Rolle „Zugriffsfunktion für Secret Manager-Secrets“ (roles/secretmanager.secretAccessor).

Informationen zum Abrufen der Dienst-Agent-ID finden Sie auf dieser Seite unter Dienst-Agent-ID abrufen.

Weitere Informationen finden Sie in der Dokumentation zu Identity and Access Management unter Dienst-Agents Rollen zuweisen.

Nutzer für jede Cloud SQL-Instanz erstellen

Erstellen Sie für jede Instanz, die für die Erkennung infrage kommt, ein Nutzerkonto mit den Berechtigungen, die zum Erstellen von Profilen für Ihre Daten erforderlich sind.

Sie können ein vorhandenes Nutzerkonto verwenden. Achten Sie aber darauf, dass dieses Konto die in diesem Abschnitt aufgeführten Berechtigungen hat.

Nutzer für eine Cloud SQL for MySQL-Instanz erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein MySQL-Nutzerkonto zur Verwendung mit der Datenprofilerstellung erstellen. Unabhängig davon, ob Sie ein Nutzerkonto erstellen oder ein vorhandenes wiederverwenden, muss das Konto das Authentifizierungs-Plug-in mysql_native_password haben. Dieser Abschnitt enthält Informationen zum Ändern eines vorhandenen Datenbanknutzerkontos, um dieses Authentifizierungs-Plug-in zu verwenden.

Stellen Sie eine Verbindung zur Instanz her.
Bereiten Sie das Datenbank-Nutzerkonto vor.
- Wenn Sie einen Datenbanknutzer erstellen möchten, führen Sie über die mysql-Eingabeaufforderung den folgenden Befehl aus:
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Ersetzen Sie Folgendes:
  - USERNAME: Nutzername des Nutzerkontos
  - PASSWORD: Passwort des Nutzerkontos
  Weitere Informationen finden Sie unter CREATE USER-Anweisung in der MySQL-Dokumentation.
- Wenn Sie ein vorhandenes Datenbanknutzerkonto verwenden möchten, das nicht das Authentifizierungs-Plug-in mysql_native_password verwendet, ändern Sie das Authentifizierungs-Plug-in dieses Kontos mit dem Befehl ALTER USER:
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Weitere Informationen finden Sie unter ALTER USER-Anweisung in der MySQL-Dokumentation.
Gewähren Sie dem Nutzer die Berechtigungen SELECT und SHOW VIEW.
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
Die Ausgabe sieht in etwa so aus:
```
Query OK, 0 rows affected (0.00 sec)
```
Weitere Informationen finden Sie unter GRANT-Anweisung in der MySQL-Dokumentation.
Optional: Wenn ein Profil für performance_schema.log_status erstellt werden soll, gewähren Sie dem Nutzer die Berechtigung BACKUP_ADMIN. Weitere Informationen finden Sie unter MySQL-Leistungsschema in der MySQL-Dokumentation.
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
Erstellen Sie in Secret Manager ein Secret zum Speichern des Passworts. Erstellen Sie das Secret in dem Projekt, das die Cloud SQL-Instanz enthält.

Notieren Sie sich den Ressourcennamen des Secrets.

Nutzer für eine Cloud SQL for PostgreSQL-Instanz erstellen

Bei Cloud SQL for PostgreSQL-Instanzen unterstützt der Schutz sensibler Daten zwei Arten von Nutzerkonten:

Ein integriertes Nutzerkonto, das über PostgreSQL erstellt wurde.
Ein IAM-Hauptkonto, insbesondere der Dienst-Agent, der Ihrer Scankonfiguration zugeordnet ist.

Option 1: Integriertes Nutzerkonto in PostgreSQL erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein integriertes Nutzerkonto über PostgreSQL erstellen.

Stellen Sie eine Verbindung zur Instanz her.
Führen Sie an der postgres-Eingabeaufforderung den folgenden Befehl aus, um den Nutzer zu erstellen:
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
Ersetzen Sie Folgendes:
- USERNAME: Nutzername des Nutzerkontos
- PASSWORD: Passwort des Nutzerkontos
Die Ausgabe sieht in etwa so aus:
```
CREATE ROLE
```
Weitere Informationen finden Sie unter CREATE USER in der PostgreSQL-Dokumentation.
Weisen Sie dem Nutzer die Rolle pg_read_all_data zu:
```
GRANT pg_read_all_data TO USERNAME;
```
Die Ausgabe sieht in etwa so aus:
```
GRANT ROLE
```
Weitere Informationen finden Sie in der PostgreSQL-Dokumentation unter GRANT.
Erstellen Sie in Secret Manager ein Secret zum Speichern des Passworts.
- Wenn der Erkennungsvorgang die gesamte Organisation oder einen Ordner umfasst, erstellen Sie das Secret in dem Projekt, das die Cloud SQL-Instanz enthält.
- Wenn der Erkennungsvorgang ein einzelnes Projekt umfasst, erstellen Sie das Secret in diesem Projekt.
Notieren Sie sich den Ressourcennamen des Secrets.

Option 2: Dienst-Agent als Nutzer in die Instanz einfügen (nur PostgreSQL)

Führen Sie diese Schritte nur aus, wenn Sie eine Cloud SQL for PostgreSQL-Instanz konfigurieren.

Folgen Sie der Anleitung zum Hinzufügen eines IAM-Dienstkontos zu einer Datenbank in der Cloud SQL for PostgreSQL-Dokumentation.

Das von Ihnen angegebene Dienstkonto muss der Dienst-Agent sein, der der Scankonfiguration zugeordnet ist. Informationen zum Abrufen der Dienst-Agent-ID finden Sie auf dieser Seite unter Dienst-Agent-ID abrufen.
Weisen Sie in PostgreSQL dem Dienst-Agent die Rolle pg_read_all_data zu:
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
Ersetzen Sie TRUNCATED_SERVICE_AGENT_ID durch die Service-Agent-ID ohne das Suffix .gserviceaccount.com, z. B. service-1234567890@dlp-api.iam.

Die Ausgabe sieht in etwa so aus:
```
GRANT ROLE
```

Zugriff auf Cloud SQL-Instanzen gewähren

Nachdem Sie die Scankonfiguration erstellt haben, erstellt der Schutz sensibler Daten automatisch Standarddienstverbindungen für jede Instanz, die für die Erkennung vorgesehen ist. Bevor die Profilerstellung gestartet werden kann, müssen Sie für jede Dienstverbindung die Anmeldedaten für jede Cloud SQL-Instanz angeben.

So aktualisieren Sie eine Verbindung:

Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.

Zu den Dienstverbindungen

Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie für die Verbindung, die Sie aktualisieren möchten, auf Aktionen > Anmeldedaten verwalten.
Führen Sie im angezeigten Bereich einen der folgenden Schritte aus:
- Anmeldedaten für das Nutzerkonto angeben
- Dienst-Agent als Nutzerkonto verwenden (nur für Cloud SQL for PostgreSQL-Instanzen unterstützt)

Anmeldedaten für Nutzerkonto angeben

Geben Sie den Nutzernamen und die Secret Manager-Ressource ein, die das Passwort enthält. Die Secret Manager-Ressource muss das folgende Format haben:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Ersetzen Sie Folgendes:

PROJECT_NUMBER: die numerische ID Ihres Projekts
SECRET_NAME: der Name des Secrets, das das Passwort enthält
VERSION_NUMBER: die Versionsnummer des Secrets. Verwenden Sie latest, um die neueste Version bereitzustellen.

Dienst-Agent als Nutzerkonto verwenden

Diese Option ist nur für Cloud SQL for PostgreSQL-Instanzen verfügbar.

Wählen Sie Cloud SQL IAM-Datenbankauthentifizierung aus, um den Dienst-Agent als Nutzerkonto zu verwenden.

Maximale Anzahl gleichzeitiger Verbindungen zu einer Instanz aktualisieren

Standardmäßig verwendet der Schutz sensibler Daten maximal zwei gleichzeitige Verbindungen, um die Auswirkungen der Erkennung auf Ihre Cloud SQL-Instanzen zu minimieren. Wir empfehlen, diesen Wert auf einen angemessenen Wert für die Instanzgröße und -auslastung zu erhöhen.

Weitere Informationen finden Sie in der Cloud SQL-Dokumentation unter Maximale Anzahl gleichzeitiger Verbindungen.

So ändern Sie das maximale Verbindungslimit für den Erkennungsdienst:

Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.

Zu den Dienstverbindungen

Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie für die Verbindung, die Sie aktualisieren möchten, auf Aktionen > Verbindungslimit verwalten.
Geben Sie im angezeigten Bereich das neue Limit ein.
Klicken Sie auf Fertig.

Nächste Schritte

Weitere Informationen zum Aufrufen von Datenprofilen