Nesta página, descrevemos como trabalhar com as conexões que a proteção de dados sensíveis cria quando você configura a descoberta no Cloud SQL.
Receber o ID do agente de serviço
Para executar os procedimentos nesta página, você precisa do ID do agente de serviço associado à configuração da verificação. Para conseguir o ID do agente de serviço, siga estas etapas:
Acesse a lista de configurações da verificação de descoberta.
- Selecione a configuração de verificação.
- Na página exibida, copie o ID do agente de serviço. Esse ID está no formato de um endereço de e-mail.
Conceder os papéis do IAM necessários ao agente de serviço
Confirme se o agente de serviço associado à configuração de verificação tem o papel de driver necessário:
- Se o escopo da operação de descoberta for toda a organização ou uma pasta, verifique se o agente de serviço tem o papel de Driver dos perfis de dados da organização do DLP (
roles/dlp.orgdriver
). - Se o escopo da sua operação de descoberta for um único projeto, verifique se o agente de serviço tem o papel de driver dos perfis de dados do projeto do DLP (
roles/dlp.projectdriver
).
- Se o escopo da operação de descoberta for toda a organização ou uma pasta, verifique se o agente de serviço tem o papel de Driver dos perfis de dados da organização do DLP (
Conceda ao agente de serviço o papel Acessador de secret do Secret Manager (
roles/secretmanager.secretAccessor
).
Para receber o ID do agente de serviço, consulte Acessar o ID do agente de serviço nesta página.
Para mais informações, consulte Conceder papéis a agentes de serviço na documentação do Identity and Access Management.
Criar um usuário para cada instância do Cloud SQL
Para cada instância que esteja no escopo da descoberta, crie uma conta de usuário com os privilégios necessários para criar o perfil dos seus dados.
Você pode usar uma conta de usuário atual, mas é necessário garantir que a conta tenha os privilégios listados nesta seção.
Criar um usuário para uma instância do Cloud SQL para MySQL
Nesta seção, descrevemos como criar uma conta de usuário do MySQL para usar com a criação de perfil de dados. Se você criar uma conta de usuário ou reutilizar uma já existente,
a conta precisará ter o
plug-in de autenticação mysql_native_password
.
Esta seção inclui informações sobre como modificar uma conta de usuário do banco de dados
para usar esse plug-in de autenticação.
- Conecte-se à instância.
Prepare a conta de usuário do banco de dados.
Se você quiser criar um usuário do banco de dados, execute o seguinte comando no prompt
mysql
:CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Substitua:
USERNAME
: o nome de usuário da conta de usuárioPASSWORD
: a senha da conta de usuário
Para saber mais, consulte a instrução CREATE USER na documentação do MySQL.
Se você quiser usar uma conta de usuário do banco de dados que não esteja usando o plug-in de autenticação
mysql_native_password
, use o comandoALTER USER
para alterar o plug-in de autenticação dessa conta:ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Para mais informações, consulte Instrução ALTER USER na documentação do MySQL.
Conceda os privilégios
SELECT
eSHOW VIEW
ao usuário.GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
O resultado será assim:
Query OK, 0 rows affected (0.00 sec)
Para mais informações, consulte a Instrução GRANT na documentação do MySQL.
Opcional: se você quiser criar um perfil de
performance_schema.log_status
, conceda o privilégioBACKUP_ADMIN
ao usuário. Para mais informações, consulte Esquema de desempenho do MySQL na documentação do MySQL.GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
No Secret Manager, crie um secret para armazenar a senha. Crie o secret no projeto que contém a instância do Cloud SQL.
Anote o nome do recurso do secret.
Criar um usuário para uma instância do Cloud SQL para PostgreSQL
Para instâncias do Cloud SQL para PostgreSQL, a proteção de dados sensíveis oferece suporte a dois tipos de contas de usuário:
- Uma conta de usuário integrada criada pelo PostgreSQL.
- Um principal do IAM, especificamente, o agente de serviço associado à configuração da verificação.
Opção 1: criar uma conta de usuário integrada no PostgreSQL
Esta seção descreve como criar uma conta de usuário integrada por meio do PostgreSQL.
- Conecte-se à instância.
No prompt
postgres
, execute o seguinte comando para criar o usuário:CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
Substitua:
USERNAME
: o nome de usuário da conta de usuárioPASSWORD
: a senha da conta de usuário
O resultado será assim:
CREATE ROLE
Para saber mais, consulte CREATE USER na documentação do PostgreSQL.
Conceda a função
pg_read_all_data
ao usuário:GRANT pg_read_all_data TO USERNAME;
O resultado será assim:
GRANT ROLE
Para saber mais, consulte GRANT na documentação do PostgreSQL.
No Secret Manager, crie um secret para armazenar a senha.
- Se o escopo da operação de descoberta for toda a organização ou uma pasta, crie o secret no projeto que contém a instância do Cloud SQL.
- Se o escopo da operação de descoberta for um único projeto, crie o secret nesse projeto.
Anote o nome do recurso do secret.
Opção 2: adicionar o agente de serviço como usuário na instância (somente PostgreSQL)
Siga estas etapas apenas se estiver configurando uma instância do Cloud SQL para PostgreSQL.
Siga as instruções para adicionar uma conta de serviço do IAM a um banco de dados na documentação do Cloud SQL para PostgreSQL.
A conta de serviço fornecida precisa ser o agente de serviço associado à configuração da verificação. Para conseguir o ID do agente de serviço, consulte Acessar o ID do agente de serviço nesta página.
No PostgreSQL, conceda o papel
pg_read_all_data
ao agente de serviço:GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
Substitua
TRUNCATED_SERVICE_AGENT_ID
pelo ID do agente de serviço sem o sufixo.gserviceaccount.com
, por exemplo,service-1234567890@dlp-api.iam
.O resultado será assim:
GRANT ROLE
Conceder acesso às instâncias do Cloud SQL
Depois que você cria a configuração da verificação, a proteção de dados sensíveis cria automaticamente conexões de serviço padrão para cada instância no escopo da descoberta. Antes de iniciar a criação de perfil, você precisa editar cada conexão de serviço para fornecer as credenciais para cada instância do Cloud SQL.
Para atualizar uma conexão, siga estas etapas:
No console do Google Cloud, acesse a página Conexões de serviço.
Suas conexões são exibidas em uma lista.
Na conexão que você quer atualizar, clique em > Gerenciar credenciais.
AçõesNo painel exibido, siga um destes procedimentos:
- Fornecer credenciais da conta de usuário
- Usar o agente de serviço como uma conta de usuário (compatível apenas com instâncias do Cloud SQL para PostgreSQL)
Forneça as credenciais da conta de usuário
Digite o nome de usuário e o recurso do Secret Manager que contém a senha. O recurso do Secret Manager precisa estar no seguinte formato:
projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER
Substitua:
PROJECT_NUMBER
: o ID numérico do projeto.SECRET_NAME
: o nome do secret que contém a senha.VERSION_NUMBER
: o número da versão do secret. Para informar a versão mais recente, uselatest
.
Usar o agente de serviço como uma conta de usuário
Essa opção está disponível apenas para instâncias do Cloud SQL para PostgreSQL.
Para usar o agente de serviço como a conta de usuário, selecione Autenticação do banco de dados do IAM do Cloud SQL.
Atualizar o número máximo de conexões simultâneas em uma instância
Por padrão, a proteção de dados sensíveis usa no máximo duas conexões simultâneas para minimizar o impacto da descoberta nas suas instâncias do Cloud SQL. Recomendamos que você aumente esse número para um valor apropriado com base no tamanho e na utilização da instância.
Para mais informações, consulte Máximo de conexões simultâneas na documentação do Cloud SQL.
Para mudar o limite máximo de conexões do serviço de descoberta, faça o seguinte:
No console do Google Cloud, acesse a página Conexões de serviço.
Suas conexões são exibidas em uma lista.
Na conexão que você quer atualizar, clique em > Gerenciar limite de conexão.
AçõesNo painel exibido, insira o novo limite.
Clique em Concluído.
A seguir
- Saiba como visualizar perfis de dados.