검색 서비스 문제 해결

이 페이지에서는 민감한 정보 보호 검색 서비스의 문제를 해결하는 방법을 설명합니다. 검색 서비스에 대한 자세한 내용은 데이터 프로필을 참조하세요.

서비스 에이전트에 액세스 제어 열을 읽을 권한이 없음

이 문제는 정책 태그를 통해 열 수준 보안을 시행하는 테이블을 프로파일링할 때 발생합니다. 서비스 에이전트에 제한된 열에 액세스할 수 있는 권한이 없으면 민감한 정보 보호에 다음 오류가 표시됩니다.

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

이 문제를 해결하려면 Identity and Access Management(IAM) 페이지에서 서비스 에이전트에 세분화된 권한의 리더 역할을 부여합니다.

IAM으로 이동

민감한 정보 보호는 프로파일링할 수 없는 프로파일링 테이블을 주기적으로 다시 시도합니다.

역할 부여에 대한 자세한 내용은 단일 역할 부여를 참조하세요.

서비스 에이전트에게 데이터 프로파일링 액세스 권한이 없음

이 문제는 조직의 사용자가 조직 또는 폴더 수준 스캔 구성을 만든 후 발생합니다. 스캔 구성 세부정보를 확인할 때 스캔 상태 값이 활성화됨(오류 있음)으로 표시됩니다. 오류가 표시되면 민감한 정보 보호에 다음 오류 메시지가 표시됩니다.

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

이 오류는 스캔 구성을 만드는 동안 민감한 정보 보호에서 DLP 조직 데이터 프로필 드라이버 역할을 서비스 에이전트에 자동으로 부여할 수 없기 때문에 발생했습니다. 스캔 구성을 만든 사용자에게 데이터 프로파일링 액세스 권한을 부여할 수 있는 권한이 없으므로 민감한 정보 보호에서 자동으로 이 작업을 수행할 수 없습니다.

이 문제를 해결하려면 서비스 에이전트에 데이터 프로파일링 액세스 권한 부여를 참조하세요.

서비스 계정에 테이블을 쿼리할 권한이 없음

이 문제는 민감한 정보 보호에서 서비스 에이전트에 쿼리할 수 있는 권한이 없는 테이블을 프로파일링하려고 할 때 발생합니다. 민감한 정보 보호에 다음 오류가 표시됩니다.

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

이 문제를 해결하려면 다음 단계를 따르세요.

  1. 테이블이 여전히 존재하는지 확인합니다. 테이블이 존재하는 경우 다음 단계를 수행합니다.

  2. Cloud Shell을 활성화합니다.

    Cloud Shell 활성화

    Cloud Shell을 승인하라는 메시지가 표시되면 승인을 클릭합니다.

    또는 Google Cloud CLI의 bq 명령줄 도구를 사용하려면 Google Cloud CLI를 설치하고 초기화합니다.

  3. 테이블의 현재 IAM 정책을 가져와서 stdout에 인쇄합니다.

    bq get-iam-policy TABLE
    

    TABLEPROJECT_ID:DATASET_ID.TABLE_ID 형식으로 BigQuery 테이블의 전체 리소스 이름으로 바꿉니다(예: project-id:dataset-id.table-id).

  4. 서비스 계정에 DLP API 서비스 에이전트(roles/dlp.serviceAgent) 역할을 부여합니다.

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
        --role=roles/dlp.serviceAgent TABLE
    

    다음을 바꿉니다.

    • SERVICE_AGENT_ID: 테이블을 쿼리해야 하는 서비스 에이전트의 ID입니다(예: service-0123456789@dlp-api.iam.gserviceaccount.com).
    • TABLE: BigQuery 테이블의 전체 리소스 이름으로, PROJECT_ID:DATASET_ID.TABLE_ID 형식입니다(예: project-id:dataset-id.table-id).

      출력은 다음과 비슷합니다.

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
    
    {
     "bindings": [
       {
         "members": [
           "serviceAccount:SERVICE_AGENT_ID"
         ],
         "role": "roles/dlp.serviceAgent"
       }
     ],
     "etag": "BwXNAPbVq+A=",
     "version": 1
    }
    

    민감한 정보 보호는 프로파일링할 수 없는 프로파일링 테이블을 주기적으로 다시 시도합니다.

서비스 계정에 Pub/Sub 주제에 게시할 권한이 없음

이 문제는 민감한 정보 보호에서 서비스 에이전트에 게시 액세스 권한이 없는 Pub/Sub 주제에 알림을 게시하려고 할 때 발생합니다. 민감한 정보 보호에 다음 오류가 표시됩니다.

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

이 문제를 해결하려면 서비스 에이전트에 프로젝트 또는 주제 수준에서 게시 액세스 권한을 부여합니다. 게시 액세스 권한이 있는 역할의 예시로는 Pub/Sub 게시자 역할이 있습니다.

Pub/Sub 주제에 구성 문제나 권한 문제가 있으면 민감한 정보 보호에서 최대 2주 동안 Pub/Sub 알림 전송을 재시도합니다. 2주 후에 알림이 삭제됩니다.

검사 템플릿을 사용하여 다른 리전의 데이터를 프로파일링할 수 없음

이 문제는 민감한 정보 보호에서 검사 템플릿이 있는 같은 리전에 있지 않은 데이터를 프로파일링하려고 할 때 발생합니다. 민감한 정보 보호에 다음 오류가 표시됩니다.

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

이 오류 메시지에서 DATA_REGION은(는) 데이터가 있는 리전이고 TEMPLATE_REGION은(는) 검사 템플릿이 있는 리전입니다.

이 문제를 해결하려면 리전별 템플릿을 global 리전에 복사하면 됩니다.

  1. 검사 템플릿을 global 리전에 복사합니다.

  2. 검사 템플릿 세부정보 페이지에서 템플릿의 전체 리소스 이름을 복사하세요. 전체 리소스 이름은 다음 형식을 따릅니다.

    projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
  3. 스캔 구성을 수정하고 새 검사 템플릿의 전체 리소스 이름을 입력하세요.

  4. 저장을 클릭합니다.

민감한 정보 보호는 프로파일링할 수 없는 프로파일링 테이블을 주기적으로 다시 시도합니다.

민감한 정보 보호에서 지원되지 않는 테이블을 프로파일링하려고 시도함

이 문제는 민감한 정보 보호에서 지원되지 않는 테이블을 프로파일링하려고 할 때 발생합니다. 해당 테이블의 경우 테이블의 메타데이터가 포함된 부분적인 프로필을 계속 가져옵니다. 그러나 부분 프로필에는 다음 오류가 표시됩니다.

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

지원되지 않는 테이블의 부분적인 프로필 및 오류를 가져오지 않으려면 다음 단계를 따르세요.

  1. 스캔 구성을 수정합니다.
  2. 일정 관리 단계에서 일정 수정을 클릭합니다.
  3. 나타나는 창에서 조건 탭을 클릭합니다.
  4. 프로파일링할 테이블 섹션에서 지원되는 테이블 프로파일링을 클릭합니다.

자세한 내용은 일정 관리를 참조하세요.