Nesta página, mostramos como resolver problemas com o serviço de descoberta da proteção de dados sensíveis. Para mais informações sobre o serviço de descoberta, consulte Perfis de dados.
O agente de serviço não tem permissão para ler uma coluna controlada por acesso
Esse problema ocorre ao criar um perfil de tabela que aplica a segurança no nível da coluna por meio de tags de política. Se o agente de serviço não tiver permissão para acessar a coluna restrita, a proteção de dados sensíveis mostrará o seguinte erro:
Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.
Para resolver esse problema, na página "Gerenciamento de identidade e acesso (IAM)", conceda ao agente de serviço o papel de Leitor refinado.
A proteção de dados sensíveis repete periodicamente a criação de perfis de tabelas em que não foi possível criar um perfil.
Para mais informações sobre como conceder um papel, consulte Conceder um único papel.
O agente de serviço não tem acesso à criação de perfil de dados
Esse problema ocorre depois que alguém na sua organização cria uma configuração de verificação no nível da organização ou da pasta. Ao ver os detalhes da configuração da verificação, você vê que o valor de Status de verificação é Ativo com erros. Quando você vê o erro, a proteção de dados sensíveis mostra a seguinte mensagem de erro:
None of the driver projects (PROJECT_ID) have MISSING_PERMISSION permission for organizations/ORGANIZATION_ID.
Esse erro ocorreu porque a proteção de dados sensíveis não conseguiu conceder automaticamente o papel de Driver de perfis de dados da organização do DLP ao agente de serviço enquanto ele criava a configuração de verificação. O criador da configuração de verificação não tem permissões para conceder acesso de criação de perfil de dados e, portanto, a proteção de dados sensíveis não conseguiu fazer isso em nome dele.
Para resolver esse problema, consulte Conceder acesso à criação de perfil de dados a um agente de serviço.
A conta de serviço não tem permissão para consultar tabelas
Esse problema ocorre quando a proteção de dados sensíveis tenta criar o perfil de uma tabela que o agente de serviço não tem permissão para consultar. A proteção de dados sensíveis mostra o seguinte erro:
Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query table TABLE. Permission denied for DLP API service account 'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE: User does not have permission to query TABLE. [TIMESTAMP]
Para resolver o problema, siga estas etapas:
Confirme se a tabela ainda existe. Se a tabela existir, execute as próximas etapas.
Ative o Cloud Shell.
Se for solicitado que você autorize o Cloud Shell, clique em Autorizar.
Como alternativa, para usar a ferramenta de linha de comando
bq
da Google Cloud CLI, instale e inicialize a Google Cloud CLI.Consiga a política atual do IAM para a tabela e imprima-a em
stdout
:bq get-iam-policy TABLE
Substitua TABLE pelo nome completo do recurso da tabela do BigQuery, no formato PROJECT_ID:DATASET_ID.TABLE_ID, por exemplo,
project-id:dataset-id.table-id
.Conceda o papel Agente de serviço da API DLP (
roles/dlp.serviceAgent
) ao agente de serviço:bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \ --role=roles/dlp.serviceAgent TABLE
Substitua:
- SERVICE_AGENT_ID: o ID do agente de serviço que precisa consultar a tabela, por exemplo,
service-0123456789@dlp-api.iam.gserviceaccount.com
. TABLE: o nome completo do recurso da tabela do BigQuery, no formato PROJECT_ID:DATASET_ID.TABLE_ID, por exemplo,
project-id:dataset-id.table-id
.O resultado será assim:
Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE': { "bindings": [ { "members": [ "serviceAccount:SERVICE_AGENT_ID" ], "role": "roles/dlp.serviceAgent" } ], "etag": "BwXNAPbVq+A=", "version": 1 }
A proteção de dados sensíveis repete periodicamente a criação de perfis de tabelas em que não foi possível criar um perfil.
- SERVICE_AGENT_ID: o ID do agente de serviço que precisa consultar a tabela, por exemplo,
A conta de serviço não tem permissão para publicar em um tópico do Pub/Sub
Esse problema ocorre quando a proteção de dados sensíveis tenta publicar notificações em um tópico do Pub/Sub em que o agente de serviço não tem acesso de publicação. A proteção de dados sensíveis mostra o seguinte erro:
Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'. The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.
Para resolver esse problema, conceda acesso de publicação, no nível do projeto ou do tópico, ao seu agente de serviço. Um exemplo de papel com acesso de publicação é o de Editor do Pub/Sub.
Se houver problemas de configuração ou permissão com o tópico do Pub/Sub, a proteção de dados sensíveis tentará enviar a notificação do Pub/Sub por até duas semanas. Depois de duas semanas, a notificação será descartada.
Não é possível usar o modelo de inspeção para criar perfis de dados em uma região diferente
Esse problema ocorre quando a proteção de dados sensíveis tenta criar o perfil de dados que não residem na mesma região do modelo de inspeção. A proteção de dados sensíveis mostra o seguinte erro:
Data in region DATA_REGION cannot be profiled using template in region TEMPLATE_REGION. Regional template can only be used to profile data in the same region. If profiling data in multiple regions, use a global template.
Nesta mensagem de erro, DATA_REGION é a região em que os dados residem e TEMPLATE_REGION é a região em que o modelo de inspeção reside.
Para resolver esse problema, copie o modelo específico à região para a
região global
:
Na página Detalhes do modelo de inspeção, copie o nome completo do recurso do modelo. O nome completo do recurso segue este formato:
projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
Edite a configuração de verificação e insira o nome completo do recurso do novo modelo de inspeção.
Clique em Save.
A proteção de dados sensíveis repete periodicamente a criação de perfis de tabelas em que não foi possível criar um perfil.
A proteção de dados sensíveis tentou criar um perfil em uma tabela incompatível
Esse problema ocorre quando a proteção de dados sensíveis tenta criar um perfil de uma tabela sem suporte. Para essa tabela, você ainda recebe um perfil parcial contendo os metadados da tabela. No entanto, o perfil parcial mostra o seguinte erro:
Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].
Se você não quiser receber perfis e erros parciais para tabelas não compatíveis, siga estas etapas:
- Edite a configuração da verificação.
- Na etapa Gerenciar programações, clique em Editar programação.
- No painel exibido, clique na guia Condições.
- Na seção Tabelas para criar o perfil, clique em Criar perfil de tabelas compatíveis.
Para mais informações, consulte Gerenciar programações.