Risolvere i problemi relativi al servizio di rilevamento

Questa pagina mostra come risolvere i problemi relativi al servizio di rilevamento di Sensitive Data Protection. Per ulteriori informazioni sul servizio di rilevamento, consulta Profili dati.

L'agente di servizio non dispone dell'autorizzazione per leggere una colonna con accesso controllato

Questo problema si verifica durante la profilazione di una tabella che applica la sicurezza a livello di colonna tramite tag di criteri. Se l'agente di servizio non dispone dell'autorizzazione per accedere alla colonna con restrizioni, Sensitive Data Protection mostra il seguente errore:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Per risolvere il problema, nella pagina Identity and Access Management (IAM), concedi all'agente di servizio il ruolo Lettore granulare.

Vai a IAM

Sensitive Data Protection riprova periodicamente alle tabelle di profilazione che non è riuscito a profilare.

Per ulteriori informazioni sulla concessione di un ruolo, consulta Concessione di un singolo ruolo.

L'agente di servizio non dispone dell'accesso alla profilazione dei dati

Questo problema si verifica dopo che un utente dell'organizzazione ha creato una configurazione di scansione a livello di organizzazione o cartella. Quando visualizzi i dettagli della configurazione della scansione, vedi che il valore per Stato scansione è Attivo con errori. Quando visualizzi l'errore, Sensitive Data Protection mostra il seguente messaggio di errore:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Questo errore si è verificato perché la protezione dei dati sensibili non è riuscita a concedere automaticamente il ruolo Driver dei profili di dati dell'organizzazione DLP all'agente di servizio durante la creazione della configurazione dell'analisi. L'autore della configurazione di scansione non dispone delle autorizzazioni per concedere l'accesso alla profilazione dei dati e, di conseguenza, la protezione dei dati sensibili non è riuscita a farlo per suo conto.

Per risolvere il problema, vedi Concedere a un agente di servizio l'accesso alla profilazione dei dati.

L'account di servizio non ha l'autorizzazione per eseguire query su una tabella

Questo problema si verifica quando Sensitive Data Protection tenta di profilare una tabella per la quale l'agente di servizio non è autorizzato a eseguire query. Sensitive Data Protection mostra il seguente errore:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Per risolvere il problema:

  1. Verifica che la tabella esista ancora. Se la tabella esiste, esegui i passaggi successivi.

  2. Attiva Cloud Shell.

    Attiva Cloud Shell

    Se ti viene chiesto di autorizzare Cloud Shell, fai clic su Autorizza.

    In alternativa, se vuoi utilizzare lo strumento a riga di comando bq da Google Cloud CLI, installa e inizializza Google Cloud CLI.

  3. Recupera il criterio IAM attuale per la tabella e stampalo su stdout:

    bq get-iam-policy TABLE
    

    Sostituisci TABLE con il nome completo della risorsa della tabella BigQuery, nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio project-id:dataset-id.table-id.

  4. Concedi il ruolo Agente di servizio API DLP (roles/dlp.serviceAgent) all'agente di servizio:

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
        --role=roles/dlp.serviceAgent TABLE
    

    Sostituisci quanto segue:

    • SERVICE_AGENT_ID: l'ID dell'agente di servizio che deve eseguire query sulla tabella, ad esempio service-0123456789@dlp-api.iam.gserviceaccount.com.
    • TABLE: il nome completo della risorsa della tabella BigQuery nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio project-id:dataset-id.table-id.

      L'output è simile al seguente:

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
    
    {
     "bindings": [
       {
         "members": [
           "serviceAccount:SERVICE_AGENT_ID"
         ],
         "role": "roles/dlp.serviceAgent"
       }
     ],
     "etag": "BwXNAPbVq+A=",
     "version": 1
    }
    

    Sensitive Data Protection riprova periodicamente alle tabelle di profilazione che non è riuscito a profilare.

L'account di servizio non dispone dell'autorizzazione per pubblicare in un argomento Pub/Sub

Questo problema si verifica quando Sensitive Data Protection tenta di pubblicare notifiche in un argomento Pub/Sub in cui l'agente di servizio non ha accesso in pubblicazione. Sensitive Data Protection mostra il seguente errore:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

Per risolvere il problema, concedi all'agente di servizio l'accesso in pubblicazione a livello di progetto o argomento. Un esempio di ruolo con accesso in pubblicazione è il ruolo Publisher Pub/Sub.

In caso di problemi di configurazione o di autorizzazione con l'argomento Pub/Sub, Sensitive Data Protection riprova a inviare la notifica Pub/Sub per un massimo di due settimane. Dopo due settimane, la notifica viene eliminata.

Il modello di ispezione non può essere utilizzato per profilare i dati in un'altra regione

Questo problema si verifica quando Sensitive Data Protection tenta di profilare dati che non si trovano nella stessa regione in cui si trova il modello di ispezione. Sensitive Data Protection mostra il seguente errore:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

In questo messaggio di errore, DATA_REGION è la regione in cui si trovano i dati, mentre TEMPLATE_REGION è la regione in cui si trova il modello di ispezione.

Per risolvere il problema, puoi copiare il modello specifico per regione nella regione global:

  1. Copia il modello di ispezione nella regione global.

  2. Nella pagina Dettagli modello di ispezione, copia il nome completo della risorsa del modello. Il nome completo della risorsa segue questo formato:

    projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
  3. Modifica la configurazione della scansione e inserisci il nome completo della risorsa del nuovo modello di ispezione.

  4. Fai clic su Salva.

Sensitive Data Protection riprova periodicamente alle tabelle di profilazione che non è riuscito a profilare.

Sensitive Data Protection ha tentato di profilare una tabella non supportata

Questo problema si verifica quando Sensitive Data Protection tenta di profilare una tabella non supportata. Per quella tabella, ottieni ancora un profilo parziale contenente i metadati della tabella. Tuttavia, il profilo parziale mostra il seguente errore:

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

Se non vuoi visualizzare profili ed errori parziali per le tabelle non supportate, segui questi passaggi:

  1. Modifica la configurazione della scansione.
  2. Nel passaggio Gestisci pianificazioni, fai clic su Modifica pianificazione.
  3. Nel riquadro visualizzato, fai clic sulla scheda Condizioni.
  4. Nella sezione Tabelle da profilare, fai clic su Profila tabelle supportate.

Per ulteriori informazioni, consulta Gestire le pianificazioni.