En esta página, se muestra cómo resolver problemas con el servicio de descubrimiento de la protección de datos sensibles. Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos.
El agente de servicio no tiene permiso para leer una columna de acceso controlado
Este problema ocurre cuando se crea el perfil de una tabla que aplica la seguridad a nivel de columna a través de etiquetas de política. Si el agente de servicio no tiene permiso para acceder a la columna restringida, la protección de datos sensibles muestra el siguiente error:
Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.
Para resolver este problema, en la página de Identity and Access Management (IAM), otorga a tu agente de servicio la función de Lector detallado.
La protección de datos sensibles reintenta periódicamente las tablas de generación de perfiles para las que no se pudo generar el perfil.
Para obtener más información sobre cómo otorgar una función, consulta Cómo otorgar una sola función.
El agente de servicio no tiene acceso a la creación de perfiles de datos
Este problema ocurre después de que un miembro de tu organización crea una configuración de análisis a nivel de organización o carpeta. Cuando visualizas los detalles de la configuración del análisis, ves que el valor del Estado del análisis es Activo con errores. Cuando ves el error, Protección de datos sensibles muestra el siguiente mensaje de error:
None of the driver projects (PROJECT_ID) have MISSING_PERMISSION permission for organizations/ORGANIZATION_ID.
Este error se produjo porque la protección de datos sensibles no pudo otorgar automáticamente la función controlador de perfiles de datos de la organización de DLP a tu agente de servicio mientras creaba la configuración de análisis. El creador de la configuración del análisis no tiene permisos para otorgar acceso a la generación de perfiles de datos, por lo que la protección de datos sensibles no pudo hacerlo en su nombre.
Para resolver este problema, consulta Otorga acceso a la generación de perfiles de datos a un agente de servicio.
La cuenta de servicio no tiene permiso para consultar una tabla
Este problema ocurre cuando la protección de datos sensibles intenta generar perfiles de una tabla que el agente de servicio no tiene permiso para consultar. La protección de datos sensibles muestra el siguiente error:
Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query table TABLE. Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query TABLE. [TIMESTAMP]
Para resolver el problema, sigue estos pasos:
Confirma que la tabla aún existe. Si la tabla existe, realiza los siguientes pasos.
Activa Cloud Shell.
Si se te solicita que autorices Cloud Shell, haz clic en Autorizar.
Como alternativa, si deseas usar la herramienta de línea de comandos de
bq
desde Google Cloud CLI, instala e inicializa Google Cloud CLI.Obtén la política de IAM actual para la tabla y, luego, imprímela en
stdout
:bq get-iam-policy TABLE
Reemplaza TABLE por el nombre completo del recurso de la tabla de BigQuery, en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo,
project-id:dataset-id.table-id
.Otorga la función de agente de servicio de la API de DLP (
roles/dlp.serviceAgent
) al agente de servicio:bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \ --role=roles/dlp.serviceAgent TABLE
Reemplaza lo siguiente:
- SERVICE_AGENT_ID: Es el ID del agente de servicio que necesita consultar la tabla, por ejemplo,
service-0123456789@dlp-api.iam.gserviceaccount.com
. TABLE: Es el nombre completo del recurso de la tabla de BigQuery, en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo,
project-id:dataset-id.table-id
.El resultado es similar al siguiente:
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE': { "bindings": [ { "members": [ "serviceAccount:SERVICE_AGENT_ID" ], "role": "roles/dlp.serviceAgent" } ], "etag": "BwXNAPbVq+A=", "version": 1 }
La protección de datos sensibles reintenta periódicamente las tablas de generación de perfiles para las que no se pudo generar el perfil.
- SERVICE_AGENT_ID: Es el ID del agente de servicio que necesita consultar la tabla, por ejemplo,
La cuenta de servicio no tiene permiso para publicar en un tema de Pub/Sub
Este problema ocurre cuando la protección de datos sensibles intenta publicar notificaciones en un tema de Pub/Sub en el que el agente de servicio no tiene acceso de publicación. La protección de datos sensibles muestra el siguiente error:
Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'. The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.
Para resolver este problema, otorga acceso de publicación, a nivel de proyecto o tema, a tu agente de servicio. Un ejemplo de una función que tiene acceso de publicación es la función de Publicador de Pub/Sub.
Si hay problemas de configuración o permisos con el tema de Pub/Sub, la protección de datos sensibles vuelve a intentar enviar la notificación de Pub/Sub durante un máximo de dos semanas. Después de dos semanas, se descarta la notificación.
No se puede usar la plantilla de inspección para generar perfiles de datos en una región diferente
Este problema ocurre cuando la protección de datos sensibles intenta generar perfiles de datos que no se encuentran en la misma región donde reside la plantilla de inspección. La protección de datos sensibles muestra el siguiente error:
Data in region DATA_REGION cannot be profiled using template in region TEMPLATE_REGION. Regional template can only be used to profile data in the same region. If profiling data in multiple regions, use a global template.
En este mensaje de error, DATA_REGION es la región en la que residen los datos, y TEMPLATE_REGION es la región donde residen la plantilla de inspección.
Para resolver este problema, puedes copiar la plantilla específica de la región en la región global
:
En la página Inspection template details, copia el nombre completo del recurso de la plantilla. El nombre completo del recurso tiene el siguiente formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
Edita la configuración del análisis y, luego, ingresa el nombre completo del recurso de la plantilla de inspección nueva.
Haz clic en Guardar.
La protección de datos sensibles reintenta periódicamente las tablas de generación de perfiles para las que no se pudo generar el perfil.
La protección de datos sensibles intentó generar el perfil de una tabla no compatible
Este problema ocurre cuando la protección de datos sensibles intenta generar el perfil de una tabla que no es compatible. Para esa tabla, aún obtendrás un perfil parcial que contiene los metadatos de la tabla. Sin embargo, el perfil parcial muestra el siguiente error:
Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].
Si no deseas obtener perfiles ni errores parciales de tablas no compatibles, sigue estos pasos:
- Edita la configuración del análisis.
- En el paso Administrar programaciones, haz clic en Editar programación.
- En el panel que aparece, haz clic en la pestaña Condiciones.
- En la sección Tablas para generar perfiles, haz clic en Generar perfiles de tablas admitidas.
Para obtener más información, consulta Administra programas.