Mengelola koneksi untuk digunakan dengan discovery

Halaman ini menjelaskan cara menggunakan koneksi yang dibuat oleh Perlindungan Data Sensitif saat Anda mengonfigurasi penemuan untuk Cloud SQL.

Mendapatkan ID agen layanan

Untuk menjalankan prosedur di halaman ini, Anda memerlukan ID agen layanan yang terkait dengan konfigurasi pemindaian Anda. Untuk mendapatkan ID agen layanan, ikuti langkah-langkah berikut:

  1. Buka daftar konfigurasi pemindaian penemuan.

    Buka konfigurasi pemindaian penemuan

  2. Pilih konfigurasi pemindaian Anda.
  3. Di halaman detail yang terbuka, salin ID agen layanan. ID ini menggunakan format alamat email.

Memberikan peran IAM yang diperlukan ke agen layanan Anda

  1. Pastikan agen layanan yang terkait dengan konfigurasi pemindaian Anda memiliki peran driver yang diperlukan:

    • Jika cakupan operasi penemuan Anda adalah seluruh organisasi atau folder, pastikan agen layanan memiliki peran Driver Profil Data Organisasi DLP (roles/dlp.orgdriver).
    • Jika cakupan operasi penemuan Anda adalah satu project, pastikan agen layanan memiliki peran Driver Profil Data Project DLP (roles/dlp.projectdriver).

  2. Berikan peran Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) kepada agen layanan.

Untuk mendapatkan ID agen layanan, lihat Mendapatkan ID agen layanan di halaman ini.

Untuk mengetahui informasi selengkapnya, lihat Memberikan peran ke agen layanan dalam dokumentasi Identity and Access Management.

Membuat pengguna untuk setiap instance Cloud SQL

Untuk setiap instance yang berada dalam cakupan penemuan, buat akun pengguna yang memiliki hak istimewa yang diperlukan untuk membuat profil data Anda.

Anda dapat menggunakan akun pengguna yang ada, tetapi Anda harus memastikan bahwa akun tersebut memiliki hak istimewa yang tercantum di bagian ini.

Membuat pengguna untuk instance Cloud SQL untuk MySQL

Bagian ini menjelaskan cara membuat akun pengguna MySQL untuk digunakan dengan pembuatan profil data. Baik Anda membuat akun pengguna atau menggunakan kembali akun yang sudah ada, akun tersebut harus memiliki plugin autentikasi mysql_native_password. Bagian ini membahas informasi tentang cara mengubah akun pengguna database yang ada untuk menggunakan plugin autentikasi ini.

  1. Terhubung ke instance.

  2. Siapkan akun pengguna database.

    • Jika Anda ingin membuat pengguna database, pada perintah mysql, jalankan perintah berikut:

      CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';

      Ganti kode berikut:

      • USERNAME: nama pengguna akun pengguna
      • PASSWORD: sandi akun pengguna

      Untuk informasi selengkapnya, lihat BUAT Pernyataan PENGGUNA di dokumentasi MySQL.

    • Jika Anda ingin menggunakan akun pengguna database yang ada yang tidak menggunakan plugin autentikasi mysql_native_password, gunakan perintah ALTER USER untuk mengubah plugin autentikasi akun tersebut:

      ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';

      Untuk informasi selengkapnya, lihat Pernyataan PENGGUNA ALTER dalam dokumentasi MySQL.

  3. Berikan hak istimewa SELECT dan SHOW VIEW kepada pengguna.

    GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';

    Outputnya mirip dengan hal berikut ini:

    Query OK, 0 rows affected (0.00 sec)

    Untuk informasi lebih lanjut, lihat GRANTStatement di dokumentasi MySQL.

  4. Opsional: Jika Anda ingin performance_schema.log_status dibuat profilnya, berikan hak istimewa BACKUP_ADMIN kepada pengguna. Untuk mengetahui informasi selengkapnya, lihat Skema Performa MySQL di dokumentasi MySQL.

    GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';

  5. Di Secret Manager, buat secret untuk menyimpan sandi. Buat secret di project yang berisi instance Cloud SQL.

    Catat nama resource rahasia tersebut.

Membuat pengguna untuk instance Cloud SQL untuk PostgreSQL

Untuk instance Cloud SQL untuk PostgreSQL, Sensitive Data Protection mendukung dua jenis akun pengguna:

  • Akun pengguna bawaan yang dibuat melalui PostgreSQL.
  • Akun utama IAM, khususnya, agen layanan yang terkait dengan konfigurasi pemindaian Anda.

Opsi 1: Buat akun pengguna bawaan di PostgreSQL

Bagian ini menjelaskan cara membuat akun pengguna bawaan melalui PostgreSQL.

  1. Terhubung ke instance.

  2. Pada perintah postgres, jalankan perintah berikut untuk membuat pengguna:

    CREATE USER USERNAME WITH PASSWORD 'PASSWORD';

    Ganti kode berikut:

    • USERNAME: nama pengguna akun pengguna
    • PASSWORD: sandi akun pengguna

    Outputnya mirip dengan hal berikut ini:

    CREATE ROLE

    Untuk informasi selengkapnya, lihat BUAT PENGGUNA di dokumentasi PostgreSQL.

  3. Berikan peran pg_read_all_data kepada pengguna:

    GRANT pg_read_all_data TO USERNAME;

    Outputnya mirip dengan hal berikut ini:

    GRANT ROLE

    Untuk informasi selengkapnya, lihat GRANT di dokumentasi PostgreSQL.

  4. Di Secret Manager, buat secret untuk menyimpan sandi.

    • Jika cakupan operasi penemuan Anda adalah seluruh organisasi atau folder, buat secret dalam project yang berisi instance Cloud SQL.
    • Jika cakupan operasi penemuan Anda adalah satu project, buat secret dalam project tersebut.

    Catat nama resource rahasia tersebut.

Opsi 2: Tambahkan agen layanan sebagai pengguna dalam instance (khusus PostgreSQL)

Ikuti langkah-langkah ini hanya jika Anda mengonfigurasi instance Cloud SQL untuk PostgreSQL.

  1. Ikuti petunjuk untuk menambahkan akun layanan IAM ke database dalam dokumentasi Cloud SQL untuk PostgreSQL.

    Akun layanan yang Anda berikan harus merupakan agen layanan yang terkait dengan konfigurasi pemindaian. Untuk mendapatkan ID agen layanan, lihat Mendapatkan ID agen layanan di halaman ini.

  2. Di PostgreSQL, berikan peran pg_read_all_data ke agen layanan:

    GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";

    Ganti TRUNCATED_SERVICE_AGENT_ID dengan ID agen layanan tanpa akhiran .gserviceaccount.com—misalnya, service-1234567890@dlp-api.iam.

    Outputnya mirip dengan hal berikut ini:

    GRANT ROLE

Menyediakan akses ke instance Cloud SQL Anda

Setelah Anda membuat konfigurasi pemindaian, Sensitive Data Protection akan otomatis membuat koneksi layanan default untuk setiap instance dalam cakupan penemuan. Sebelum pembuatan profil dapat dimulai, Anda perlu mengedit setiap koneksi layanan untuk memberikan kredensial bagi setiap instance Cloud SQL.

Untuk memperbarui koneksi, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Serviceconnection.

    Buka Koneksi layanan

    Koneksi Anda akan ditampilkan dalam daftar.

  2. Untuk koneksi yang ingin diperbarui, klik Tindakan > Kelola kredensial.

  3. Pada panel yang muncul, lakukan salah satu langkah berikut:

Memberikan kredensial akun pengguna

Masukkan nama pengguna dan resource Secret Manager yang berisi sandi. Resource Secret Manager harus dalam format berikut:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Ganti kode berikut:

  • PROJECT_NUMBER: ID numerik project Anda.
  • SECRET_NAME: nama rahasia yang berisi sandi.
  • VERSION_NUMBER: nomor versi rahasia; untuk memberikan versi terbaru, gunakan latest.

Menggunakan agen layanan sebagai akun pengguna

Opsi ini hanya tersedia untuk instance Cloud SQL untuk PostgreSQL.

Untuk menggunakan agen layanan sebagai akun pengguna, pilih Autentikasi database IAM Cloud SQL.

Memperbarui jumlah maksimum koneksi serentak ke instance

Secara default, Sensitive Data Protection menggunakan maksimum dua koneksi serentak untuk meminimalkan dampak penemuan pada instance Cloud SQL Anda. Sebaiknya naikkan jumlah ini ke nilai yang sesuai berdasarkan ukuran dan pemanfaatan instance.

Untuk informasi selengkapnya, lihat Koneksi serentak maksimum di dokumentasi Cloud SQL.

Untuk mengubah batas koneksi maksimum untuk layanan discovery, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Serviceconnection.

    Buka Koneksi layanan

    Koneksi Anda akan ditampilkan dalam daftar.

  2. Untuk koneksi yang ingin Anda perbarui, klik Tindakan > Kelola batas koneksi.

  3. Di panel yang muncul, masukkan batas baru.

  4. Klik Done.

Langkah selanjutnya