Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der Name der API bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die zum Schutz sensibler Daten gehören, finden Sie unter Schutz sensibler Daten.

Diese Seite wurde von der Cloud Translation API übersetzt.

Verbindungen für die Verwendung mit der Erkennung verwalten

Auf dieser Seite wird beschrieben, wie Sie mit den Verbindungen arbeiten, die der Schutz für vertrauliche Daten beim Konfigurieren der Datenermittlung für Cloud SQL erstellt.

Dienst-Agent-ID abrufen

Für die Durchführung der Verfahren auf dieser Seite benötigen Sie die ID des Dienst-Agents, der mit Ihrer Scankonfiguration verknüpft ist. So rufen Sie die Kundenservicemitarbeiter-ID ab:

Rufen Sie die Liste der Konfigurationen für die explorative Datenanalyse auf.

Konfigurationen für die Suche
Wählen Sie Ihre Scankonfiguration aus.
Kopieren Sie auf der daraufhin angezeigten Detailseite die Service-Agent-ID. Diese ID hat das Format einer E-Mail-Adresse.

Dem Kundenservicemitarbeiter die erforderlichen IAM-Rollen zuweisen

Prüfen Sie, ob der Dienstmitarbeiter, der mit Ihrer Scankonfiguration verknüpft ist, die erforderliche Fahrerrolle hat:
- Wenn der Umfang Ihrer Suche die gesamte Organisation oder einen Ordner umfasst, muss der Dienst-Agent die Rolle „Treiber von DLP-Organisationsdatenprofilen“ (roles/dlp.orgdriver) haben.
- Wenn der Umfang Ihrer Discovery-Aktion auf ein einzelnes Projekt beschränkt ist, muss der Dienstmitarbeiter die Rolle „Treiber von DLP-Projektdatenprofilen“ (roles/dlp.projectdriver) haben.
Weisen Sie dem Dienst-Agent die Rolle „Zugriffsperson für Secret Manager-Secret“ (roles/secretmanager.secretAccessor) zu.

Informationen zum Abrufen Ihrer Dienst-Agent-ID finden Sie auf dieser Seite unter ID des Dienst-Agents abrufen.

Weitere Informationen finden Sie in der Dokumentation zu Identity and Access Management unter Rollen für Kundenservicemitarbeiter gewähren.

Nutzer für jede Cloud SQL-Instanz erstellen

Erstellen Sie für jede Instanz, die für die Erkennung infrage kommt, ein Nutzerkonto mit den erforderlichen Berechtigungen zum Erstellen von Profilen für Ihre Daten.

Sie können ein vorhandenes Nutzerkonto verwenden. Dieses Konto muss jedoch die in diesem Abschnitt aufgeführten Berechtigungen haben.

Nutzer für eine Cloud SQL for MySQL-Instanz erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein MySQL-Nutzerkonto für die Verwendung mit dem Datenprofiling erstellen. Unabhängig davon, ob Sie ein Nutzerkonto erstellen oder ein vorhandenes wiederverwenden, muss das Konto das mysql_native_password-Authentifizierungs-Plug-in haben. In diesem Abschnitt erfahren Sie, wie Sie ein vorhandenes Datenbanknutzerkonto so ändern, dass dieses Authentifizierungs-Plug-in verwendet wird.

Stellen Sie eine Verbindung zur Instanz her.
Bereiten Sie das Datenbanknutzerkonto vor.
- Wenn Sie einen Datenbanknutzer erstellen möchten, führen Sie an der mysql-Eingabeaufforderung den folgenden Befehl aus:
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Ersetzen Sie Folgendes:
  - USERNAME: der Nutzername des Nutzerkontos
  - PASSWORD: das Passwort für das Nutzerkonto
  Weitere Informationen finden Sie in der MySQL-Dokumentation unter CREATE USER-Anweisung.
- Wenn Sie ein vorhandenes Datenbanknutzerkonto verwenden möchten, für das nicht das mysql_native_password-Authentifizierungs-Plug-in verwendet wird, ändern Sie das Authentifizierungs-Plug-in dieses Kontos mit dem Befehl ALTER USER:
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Weitere Informationen finden Sie in der MySQL-Dokumentation unter ALTER USER-Anweisung.
Weisen Sie dem Nutzer die Berechtigungen SELECT und SHOW VIEW zu.
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
Die Ausgabe sieht in etwa so aus:
```
Query OK, 0 rows affected (0.00 sec)
```
Weitere Informationen finden Sie in der MySQL-Dokumentation unter GRANT-Anweisung.
Optional: Wenn Sie performance_schema.log_status profilieren möchten, gewähren Sie dem Nutzer das Berechtigungslevel BACKUP_ADMIN. Weitere Informationen finden Sie in der MySQL-Dokumentation unter MySQL-Leistungsschema.
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
Erstellen Sie in Secret Manager ein Secret, um das Passwort zu speichern. Erstellen Sie das Secret im Projekt, das die Cloud SQL-Instanz enthält.

Notieren Sie sich den Ressourcennamen des Secrets.

Nutzer für eine Cloud SQL for PostgreSQL-Instanz erstellen

Für Cloud SQL for PostgreSQL-Instanzen werden mit Sensitive Data Protection zwei Arten von Nutzerkonten unterstützt:

Ein integriertes Nutzerkonto, das über PostgreSQL erstellt wurde.
Ein IAM-Hauptkonto, insbesondere der Dienst-Agent, der mit Ihrer Scankonfiguration verknüpft ist.

Option 1: Ein integriertes Nutzerkonto in PostgreSQL erstellen

In diesem Abschnitt wird beschrieben, wie Sie ein integriertes Nutzerkonto über PostgreSQL erstellen.

Stellen Sie eine Verbindung zur Instanz her.
Führen Sie an der postgres-Eingabeaufforderung den folgenden Befehl aus, um den Nutzer zu erstellen:
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
Ersetzen Sie Folgendes:
- USERNAME: der Nutzername des Nutzerkontos
- PASSWORD: das Passwort für das Nutzerkonto
Die Ausgabe sieht in etwa so aus:
```
CREATE ROLE
```
Weitere Informationen finden Sie unter CREATE USER in der PostgreSQL-Dokumentation.
Weisen Sie dem Nutzer die Rolle pg_read_all_data zu:
```
GRANT pg_read_all_data TO USERNAME;
```
Die Ausgabe sieht in etwa so aus:
```
GRANT ROLE
```
Weitere Informationen finden Sie unter GRANT in der PostgreSQL-Dokumentation.
Erstellen Sie in Secret Manager ein Secret, um das Passwort zu speichern. Erstellen Sie das Secret im Projekt, das die Cloud SQL-Instanz enthält.

Notieren Sie sich den Ressourcennamen des Secrets.

Option 2: Dienstmitarbeiter als Nutzer in der Instanz hinzufügen (nur PostgreSQL)

Führen Sie diese Schritte nur aus, wenn Sie eine Cloud SQL for PostgreSQL-Instanz konfigurieren.

Folgen Sie der Anleitung in der Cloud SQL for PostgreSQL-Dokumentation, um einer Datenbank ein IAM-Dienstkonto hinzuzufügen.

Das von Ihnen angegebene Dienstkonto muss dem Dienst-Agenten entsprechen, der mit der Scankonfiguration verknüpft ist. Informationen zum Abrufen der ID des Kundenservicemitarbeiters findest du auf dieser Seite unter ID des Kundenservicemitarbeiters abrufen.
Weisen Sie dem Dienst-Agent in PostgreSQL die Rolle pg_read_all_data zu:
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
Ersetzen Sie TRUNCATED_SERVICE_AGENT_ID durch die Kundenservicemitarbeiter-ID ohne das Suffix .gserviceaccount.com, z. B. service-1234567890@dlp-api.iam.

Die Ausgabe sieht in etwa so aus:
```
GRANT ROLE
```

Zugriff auf Ihre Cloud SQL-Instanzen gewähren

Nachdem Sie die Scankonfiguration erstellt haben, werden vom Schutz sensibler Daten automatisch Standarddienstverbindungen für jede Instanz erstellt, die für die Erkennung infrage kommt. Bevor das Profiling gestartet werden kann, müssen Sie jede Dienstverbindung bearbeiten, um die Anmeldedaten für jede Cloud SQL-Instanz anzugeben.

So aktualisieren Sie eine Verbindung:

Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.

Zu „Dienstverbindungen“

Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie bei der Verbindung, die Sie aktualisieren möchten, auf Aktionen > Verbindung bearbeiten.
Führen Sie einen der folgenden Schritte aus:
- Anmeldedaten für das Nutzerkonto angeben
- Dienst-Agent als Nutzerkonto verwenden (nur für Cloud SQL for PostgreSQL-Instanzen unterstützt)

Nachdem Sie eine Verbindung aktualisiert haben, versucht Sensitive Data Protection, mit den von Ihnen angegebenen Anmeldedaten eine Verbindung zur Instanz herzustellen. Wenn ein Verbindungsfehler auftritt, wird die Verbindung mit der Instanz automatisch noch einmal versucht. Weitere Informationen finden Sie auf dieser Seite unter Verbindungsfehler ansehen.

Anmeldedaten für das Nutzerkonto angeben

Geben Sie den Nutzernamen und die Secret Manager-Ressource ein, die das Passwort enthält. Die Secret Manager-Ressource muss das folgende Format haben:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Ersetzen Sie Folgendes:

PROJECT_NUMBER: Die numerische ID Ihres Projekts.
SECRET_NAME: der Name des Secrets, das das Passwort enthält.
VERSION_NUMBER: die Versionsnummer des Secrets. Verwenden Sie latest, um die neueste Version anzugeben.

Dienstmitarbeiter als Nutzerkonto verwenden

Diese Option ist nur für Cloud SQL for PostgreSQL-Instanzen verfügbar.

Wenn Sie den Dienstagenten als Nutzerkonto verwenden möchten, wählen Sie Cloud SQL-IAM-Datenbankauthentifizierung aus.

Maximale Anzahl gleichzeitiger Verbindungen zu einer Instanz aktualisieren

Standardmäßig werden für den Schutz sensibler Daten maximal zwei gleichzeitige Verbindungen verwendet, um die Auswirkungen der Erkennung auf Ihre Cloud SQL-Instanzen zu minimieren. Wir empfehlen, diese Zahl auf einen geeigneten Wert zu erhöhen, der auf der Instanzgröße und -nutzung basiert.

Weitere Informationen finden Sie in der Cloud SQL-Dokumentation unter Maximale Anzahl gleichzeitiger Verbindungen.

So ändern Sie das maximale Verbindungslimit für den Discovery-Dienst:

Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.

Zu „Dienstverbindungen“

Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie bei der Verbindung, die Sie aktualisieren möchten, auf Aktionen > Verbindung bearbeiten.
Geben Sie im Feld Maximale Anzahl von Verbindungen das neue Limit ein.
Klicken Sie auf Fertig.

Verbindungsfehler ansehen

Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.

Zu „Dienstverbindungen“

Ihre Kontakte werden angezeigt. Wenn bei einer Verbindung ein Fehler auftritt, wird sie mit einem Fehlersymbol angezeigt.
Klicken Sie bei der Verbindung mit dem Fehler auf Aktionen > Fehler ansehen. Die zugehörigen Fehlermeldungen werden aufgeführt. Jede Nachricht enthält den Namen der Scankonfiguration, für die die Verbindung angefordert wurde.
Beheben Sie den Fehler bei Bedarf. Je nach Fehler kann die Lösung eine der folgenden Maßnahmen umfassen:
- Die von Ihnen angegebenen Anmeldedaten bearbeiten
- Aktualisieren Sie das in Secret Manager gespeicherte Passwort.
- Melden Sie sich in der Datenbank an und gewähren Sie dem Datenbanknutzer die erforderlichen Berechtigungen.
- Dem Dienstmitarbeiter, der mit der angegebenen Scankonfiguration verknüpft ist, wird die angegebene IAM-Rolle zugewiesen.

Sensitive Data Protection versucht automatisch, die Verbindung zur Instanz wiederherzustellen. Wenn der Versuch, wieder eine Verbindung herzustellen, erfolgreich ist, werden die Fehlermeldungen gelöscht.

Erkennung für Instanzen ohne öffentliche IP-Adresse zulassen

Wenn Sie die Suche für eine Cloud SQL-Instanz ausführen möchten, die keine öffentliche IP-Adresse hat, wählen Sie für diese Instanz die Option Privaten Pfad aktivieren aus. Mit dieser Option können Google Cloud-Dienste über eine private IP-Verbindung auf Daten in einer Cloud SQL-Instanz zugreifen.

Hier finden Sie weitere Informationen:

Cloud SQL for MySQL: Private IP-Adresse für eine vorhandene Instanz konfigurieren
Cloud SQL for PostgreSQL: Private IP-Adresse für eine vorhandene Instanz konfigurieren

Nächste Schritte

Weitere Informationen zum Verwalten von Datenprofilen