Gerenciar conexões para uso com a descoberta

Nesta página, descrevemos como trabalhar com as conexões que a proteção de dados sensíveis cria quando você configura a descoberta no Cloud SQL.

Receber o ID do agente de serviço

Para executar os procedimentos nesta página, você precisa do ID do agente de serviço associado à configuração da verificação. Para conseguir o ID do agente de serviço, siga estas etapas:

  1. Acesse a lista de configurações da verificação de descoberta.

    Acessar as configurações da verificação de descoberta

  2. Selecione a configuração de verificação.
  3. Na página exibida, copie o ID do agente de serviço. Esse ID está no formato de um endereço de e-mail.

Conceder os papéis do IAM necessários ao agente de serviço

  1. Confirme se o agente de serviço associado à configuração de verificação tem o papel de driver necessário:

    • Se o escopo da operação de descoberta for toda a organização ou uma pasta, verifique se o agente de serviço tem o papel de Driver dos perfis de dados da organização do DLP (roles/dlp.orgdriver).
    • Se o escopo da sua operação de descoberta for um único projeto, verifique se o agente de serviço tem o papel de driver dos perfis de dados do projeto do DLP (roles/dlp.projectdriver).
  2. Conceda ao agente de serviço o papel Acessador de secret do Secret Manager (roles/secretmanager.secretAccessor).

Para receber o ID do agente de serviço, consulte Acessar o ID do agente de serviço nesta página.

Para mais informações, consulte Conceder papéis a agentes de serviço na documentação do Identity and Access Management.

Criar um usuário para cada instância do Cloud SQL

Para cada instância que esteja no escopo da descoberta, crie uma conta de usuário com os privilégios necessários para criar o perfil dos seus dados.

Você pode usar uma conta de usuário atual, mas é necessário garantir que a conta tenha os privilégios listados nesta seção.

Criar um usuário para uma instância do Cloud SQL para MySQL

Nesta seção, descrevemos como criar uma conta de usuário do MySQL para usar com a criação de perfil de dados. Se você criar uma conta de usuário ou reutilizar uma já existente, a conta precisará ter o plug-in de autenticação mysql_native_password. Esta seção inclui informações sobre como modificar uma conta de usuário do banco de dados para usar esse plug-in de autenticação.

  1. Conecte-se à instância.
  2. Prepare a conta de usuário do banco de dados.

    • Se você quiser criar um usuário do banco de dados, execute o seguinte comando no prompt mysql:

      CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
      

      Substitua:

      • USERNAME: o nome de usuário da conta de usuário
      • PASSWORD: a senha da conta de usuário

      Para saber mais, consulte a instrução CREATE USER na documentação do MySQL.

    • Se você quiser usar uma conta de usuário do banco de dados que não esteja usando o plug-in de autenticação mysql_native_password, use o comando ALTER USER para alterar o plug-in de autenticação dessa conta:

      ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
      

      Para mais informações, consulte Instrução ALTER USER na documentação do MySQL.

  3. Conceda os privilégios SELECT e SHOW VIEW ao usuário.

    GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
    

    O resultado será assim:

    Query OK, 0 rows affected (0.00 sec)

    Para mais informações, consulte a Instrução GRANT na documentação do MySQL.

  4. Opcional: se você quiser criar um perfil de performance_schema.log_status, conceda o privilégio BACKUP_ADMIN ao usuário. Para mais informações, consulte Esquema de desempenho do MySQL na documentação do MySQL.

    GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
    
  5. No Secret Manager, crie um secret para armazenar a senha. Crie o secret no projeto que contém a instância do Cloud SQL.

    Anote o nome do recurso do secret.

Criar um usuário para uma instância do Cloud SQL para PostgreSQL

Para instâncias do Cloud SQL para PostgreSQL, a proteção de dados sensíveis oferece suporte a dois tipos de contas de usuário:

  • Uma conta de usuário integrada criada pelo PostgreSQL.
  • Um principal do IAM, especificamente, o agente de serviço associado à configuração da verificação.

Opção 1: criar uma conta de usuário integrada no PostgreSQL

Esta seção descreve como criar uma conta de usuário integrada por meio do PostgreSQL.

  1. Conecte-se à instância.
  2. No prompt postgres, execute o seguinte comando para criar o usuário:

    CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
    

    Substitua:

    • USERNAME: o nome de usuário da conta de usuário
    • PASSWORD: a senha da conta de usuário

    O resultado será assim:

    CREATE ROLE

    Para saber mais, consulte CREATE USER na documentação do PostgreSQL.

  3. Conceda a função pg_read_all_data ao usuário:

    GRANT pg_read_all_data TO USERNAME;
    

    O resultado será assim:

    GRANT ROLE

    Para saber mais, consulte GRANT na documentação do PostgreSQL.

  4. No Secret Manager, crie um secret para armazenar a senha.

    • Se o escopo da operação de descoberta for toda a organização ou uma pasta, crie o secret no projeto que contém a instância do Cloud SQL.
    • Se o escopo da operação de descoberta for um único projeto, crie o secret nesse projeto.

    Anote o nome do recurso do secret.

Opção 2: adicionar o agente de serviço como usuário na instância (somente PostgreSQL)

Siga estas etapas apenas se estiver configurando uma instância do Cloud SQL para PostgreSQL.

  1. Siga as instruções para adicionar uma conta de serviço do IAM a um banco de dados na documentação do Cloud SQL para PostgreSQL.

    A conta de serviço fornecida precisa ser o agente de serviço associado à configuração da verificação. Para conseguir o ID do agente de serviço, consulte Acessar o ID do agente de serviço nesta página.

  2. No PostgreSQL, conceda o papel pg_read_all_data ao agente de serviço:

    GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
    

    Substitua TRUNCATED_SERVICE_AGENT_ID pelo ID do agente de serviço sem o sufixo .gserviceaccount.com, por exemplo, service-1234567890@dlp-api.iam.

    O resultado será assim:

    GRANT ROLE

Conceder acesso às instâncias do Cloud SQL

Depois que você cria a configuração da verificação, a proteção de dados sensíveis cria automaticamente conexões de serviço padrão para cada instância no escopo da descoberta. Antes de iniciar a criação de perfil, você precisa editar cada conexão de serviço para fornecer as credenciais para cada instância do Cloud SQL.

Para atualizar uma conexão, siga estas etapas:

  1. No console do Google Cloud, acesse a página Conexões de serviço.

    Acessar "Conexões de serviço"

    Suas conexões são exibidas em uma lista.

  2. Na conexão que você quer atualizar, clique em Ações > Gerenciar credenciais.

  3. No painel exibido, siga um destes procedimentos:

Forneça as credenciais da conta de usuário

Digite o nome de usuário e o recurso do Secret Manager que contém a senha. O recurso do Secret Manager precisa estar no seguinte formato:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Substitua:

  • PROJECT_NUMBER: o ID numérico do projeto.
  • SECRET_NAME: o nome do secret que contém a senha.
  • VERSION_NUMBER: o número da versão do secret. Para informar a versão mais recente, use latest.

Usar o agente de serviço como uma conta de usuário

Essa opção está disponível apenas para instâncias do Cloud SQL para PostgreSQL.

Para usar o agente de serviço como a conta de usuário, selecione Autenticação do banco de dados do IAM do Cloud SQL.

Atualizar o número máximo de conexões simultâneas em uma instância

Por padrão, a proteção de dados sensíveis usa no máximo duas conexões simultâneas para minimizar o impacto da descoberta nas suas instâncias do Cloud SQL. Recomendamos que você aumente esse número para um valor apropriado com base no tamanho e na utilização da instância.

Para mais informações, consulte Máximo de conexões simultâneas na documentação do Cloud SQL.

Para mudar o limite máximo de conexões do serviço de descoberta, faça o seguinte:

  1. No console do Google Cloud, acesse a página Conexões de serviço.

    Acessar "Conexões de serviço"

    Suas conexões são exibidas em uma lista.

  2. Na conexão que você quer atualizar, clique em Ações > Gerenciar limite de conexão.

  3. No painel exibido, insira o novo limite.

  4. Clique em Concluído.

A seguir