Cloud Data Loss Prevention (Cloud DLP) ora fa parte della protezione dei dati sensibili. Il nome dell'API rimane invariato: API Cloud Data Loss Prevention (API DLP). Per informazioni sui servizi che costituiscono la protezione dei dati sensibili, consulta la panoramica sulla protezione dei dati sensibili.

Gestisci le connessioni da utilizzare con il rilevamento

In questa pagina viene descritto come utilizzare le connessioni create da Sensitive Data Protection quando configuri il rilevamento per Cloud SQL.

Recupera l'ID agente di servizio

Per eseguire le procedure in questa pagina, è necessario l'ID dell'agente di servizio associato alla configurazione della scansione. Per ottenere l'ID agente di servizio:

Vai all'elenco delle configurazioni della scansione del rilevamento.

Vai alle configurazioni dell'analisi del rilevamento
Seleziona la configurazione della scansione.
Nella pagina dei dettagli che si apre, copia l'ID agente di servizio. Questo ID è nel formato di un indirizzo email.

Concedi i ruoli IAM richiesti all'agente di servizio

Assicurati che l'agente di servizio associato alla configurazione di scansione disponga del ruolo driver richiesto:
- Se l'ambito dell'operazione di rilevamento riguarda l'intera organizzazione o una cartella, assicurati che l'agente di servizio disponga del ruolo Driver dei profili dati dell'organizzazione DLP (roles/dlp.orgdriver).
- Se l'ambito dell'operazione di rilevamento è un singolo progetto, assicurati che l'agente di servizio disponga del ruolo Driver dei profili di dati del progetto DLP (roles/dlp.projectdriver).
Concedi all'agente di servizio il ruolo roles/secretmanager.secretAccessor di accesso ai secret di Secret Manager.

Per ottenere l'ID agente di servizio, consulta Recuperare l'ID agente di servizio in questa pagina.

Per ulteriori informazioni, consulta Concedi ruoli agli agenti di servizio nella documentazione di Identity and Access Management.

Crea un utente per ogni istanza di Cloud SQL

Per ogni istanza che rientra nell'ambito del rilevamento, crea un account utente con i privilegi necessari per profilare i tuoi dati.

Puoi utilizzare un account utente esistente, ma devi assicurarti che disponga dei privilegi elencati in questa sezione.

Crea un utente per un'istanza Cloud SQL per MySQL

Questa sezione descrive come creare un account utente MySQL da utilizzare con la profilazione dei dati. Che tu crei un account utente o riutilizzi un account esistente, l'account deve avere il plug-in di autenticazione mysql_native_password. Questa sezione include informazioni su come modificare un account utente del database esistente per utilizzare questo plug-in di autenticazione.

Connettiti all'istanza.
Prepara l'account utente del database.
- Se vuoi creare un utente del database, al prompt di mysql esegui questo comando:
```
CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Sostituisci quanto segue:
  - USERNAME: il nome utente dell'account utente
  - PASSWORD: la password dell'account utente
  Per ulteriori informazioni, consulta CREARE Dichiarazione dell'utente nella documentazione di MySQL.
- Se vuoi utilizzare un account utente del database esistente che non utilizza il plug-in di autenticazione mysql_native_password, usa il comando ALTER USER per cambiare il plug-in di autenticazione di quell'account:
```
ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
```
  Per ulteriori informazioni, consulta Dichiarazione dell'utente ALTER nella documentazione di MySQL.
Concedi i privilegi SELECT e SHOW VIEW all'utente.
```
GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
```
L'output è simile al seguente:
```
Query OK, 0 rows affected (0.00 sec)
```
Per ulteriori informazioni, consulta la Dichiarazione di GRANT nella documentazione di MySQL.
(Facoltativo) Se vuoi che performance_schema.log_status venga profilato, concedi il privilegio BACKUP_ADMIN all'utente. Per ulteriori informazioni, consulta Schema delle prestazioni di MySQL nella documentazione di MySQL.
```
GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
```
In Secret Manager, crea un secret per archiviare la password. Creare il secret nel progetto che contiene l'istanza Cloud SQL.

Prendi nota del nome della risorsa del secret.

Crea un utente per un'istanza Cloud SQL per PostgreSQL

Per le istanze Cloud SQL per PostgreSQL, Sensitive Data Protection supporta due tipi di account utente:

Un account utente integrato creato tramite PostgreSQL.
Un'entità IAM, in particolare l'agente di servizio associato alla configurazione di scansione.

Opzione 1: crea un account utente integrato in PostgreSQL

Questa sezione descrive come creare un account utente integrato tramite PostgreSQL.

Connettiti all'istanza.
Al prompt di postgres, esegui questo comando per creare l'utente:
```
CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
```
Sostituisci quanto segue:
- USERNAME: il nome utente dell'account utente
- PASSWORD: la password dell'account utente
L'output è simile al seguente:
```
CREATE ROLE
```
Per ulteriori informazioni, consulta CREATE USER nella documentazione di PostgreSQL.
Concedi il ruolo pg_read_all_data all'utente:
```
GRANT pg_read_all_data TO USERNAME;
```
L'output è simile al seguente:
```
GRANT ROLE
```
Per ulteriori informazioni, consulta GRANT nella documentazione di PostgreSQL.
In Secret Manager, crea un secret per archiviare la password.
- Se l'ambito dell'operazione di rilevamento è l'intera organizzazione o una cartella, crea il secret nel progetto che contiene l'istanza Cloud SQL.
- Se l'ambito dell'operazione di rilevamento è un singolo progetto, crea il secret in quel progetto.
Prendi nota del nome della risorsa del secret.

Opzione 2: aggiungi l'agente di servizio come utente nell'istanza (solo PostgreSQL)

Segui questi passaggi solo se stai configurando un'istanza Cloud SQL per PostgreSQL.

Segui le istruzioni per aggiungere un account di servizio IAM a un database nella documentazione di Cloud SQL per PostgreSQL.

L'account di servizio fornito deve essere l'agente di servizio associato alla configurazione della scansione. Per ottenere l'ID agente di servizio, consulta Recuperare l'ID agente di servizio in questa pagina.
In PostgreSQL, concedi il ruolo pg_read_all_data all'agente di servizio:
```
GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
```
Sostituisci TRUNCATED_SERVICE_AGENT_ID con l'ID dell'agente di servizio senza il suffisso .gserviceaccount.com, ad esempio service-1234567890@dlp-api.iam.

L'output è simile al seguente:
```
GRANT ROLE
```

Fornisci l'accesso alle tue istanze Cloud SQL

Dopo aver creato la configurazione di scansione, Sensitive Data Protection crea automaticamente le connessioni ai servizi predefinite per ogni istanza nell'ambito di rilevamento. Prima di avviare la profilazione, devi modificare ogni connessione al servizio per fornire le credenziali per ogni istanza Cloud SQL.

Per aggiornare una connessione:

Nella console Google Cloud, vai alla pagina Connessioni ai servizi.

Vai a Connessioni ai servizi

Le connessioni vengono visualizzate in un elenco.
Per la connessione che vuoi aggiornare, fai clic su Azioni > Gestisci credenziali.
Nel riquadro visualizzato, esegui una delle seguenti operazioni:
- Fornire le credenziali dell'account utente
- Utilizza l'agente di servizio come account utente (supportato solo per istanze Cloud SQL per PostgreSQL)

Fornisci le credenziali dell'account utente

Inserisci il nome utente e la risorsa Secret Manager che contiene la password. La risorsa Secret Manager deve essere nel seguente formato:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Sostituisci quanto segue:

PROJECT_NUMBER: l'ID numerico del progetto.
SECRET_NAME: il nome del secret che contiene la password.
VERSION_NUMBER: il numero di versione del secret; per fornire la versione più recente, utilizza latest.

Utilizza l'agente di servizio come account utente

Questa opzione è disponibile solo per le istanze Cloud SQL per PostgreSQL.

Per utilizzare l'agente di servizio come account utente, seleziona Autenticazione database IAM Cloud SQL.

Aggiorna il numero massimo di connessioni simultanee a un'istanza

Per impostazione predefinita, Sensitive Data Protection utilizza un massimo di due connessioni simultanee per ridurre al minimo l'impatto del rilevamento sulle istanze Cloud SQL. Ti consigliamo di aumentare questo numero impostando un valore appropriato in base alla dimensione e all'utilizzo dell'istanza.

Per ulteriori informazioni, consulta Numero massimo di connessioni simultanee nella documentazione di Cloud SQL.

Per modificare il limite massimo di connessioni per il servizio di rilevamento:

Nella console Google Cloud, vai alla pagina Connessioni ai servizi.

Vai a Connessioni ai servizi

Le connessioni vengono visualizzate in un elenco.
Per la connessione che vuoi aggiornare, fai clic su Azioni > Gestisci limite connessioni.
Nel riquadro visualizzato, inserisci il nuovo limite.
Fai clic su Fine.

Passaggi successivi

Scopri come visualizzare i profili di dati.