Probleme mit dem Data Profiler beheben

Auf dieser Seite wird gezeigt, wie Sie Probleme mit dem Data Profiler von Cloud Data Loss Prevention (DLP) beheben.

Berechtigungen

In diesem Abschnitt sind mögliche Zugriffsprobleme sowie Vorschläge zu deren Behebung aufgeführt.

Der Dienst-Agent ist nicht berechtigt, eine Spalte mit Zugriffssteuerung zu lesen

Dieses Problem tritt auf, wenn Sie mithilfe von Richtlinien-Tags eine Profilerstellung für eine Tabelle durchführen, die die Sicherheit auf Spaltenebene erzwingt. Wenn der Dienst-Agent nicht berechtigt ist, auf die eingeschränkte Spalte zuzugreifen, zeigt Cloud DLP den folgenden Fehler an:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Zum Beheben dieses Problems erteilen Sie dem Dienst-Agent auf der Seite IAM (Identity and Access Management) die Rolle Detaillierter Lesezugriff.

IAM aufrufen

Cloud DLP wiederholt regelmäßig Profiltabellen, für die kein Profil erstellt werden konnte.

Weitere Informationen zum Zuweisen einer Rolle finden Sie unter Einzelne Rolle zuweisen.

Der Dienst-Agent hat keinen Datenprofilzugriff

Dieses Problem tritt auf, wenn jemand in Ihrer Organisation eine Scankonfiguration auf Organisations- oder Ordnerebene erstellt. Wenn Sie die Details zur Scankonfiguration aufrufen, sehen Sie, dass der Wert für Scanstatus Aktiv mit Fehlern lautet. Wenn Sie sich den Fehler ansehen, zeigt Cloud DLP die folgende Fehlermeldung an:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Dieser Fehler ist aufgetreten, da Cloud DLP Ihrem Dienst-Agent während der Erstellung der Scankonfiguration nicht automatisch die Rolle DLP-Organisationsdatendaten-Treiber zuweisen konnte. Der Ersteller der Scankonfiguration hat keine Berechtigungen zum Gewähren des Zugriffs auf die Datenprofilerstellung, sodass Cloud DLP dies in seinem Namen nicht tun konnte.

Informationen zum Beheben dieses Problems finden Sie unter Datenprofiling-Zugriff auf einen Dienst-Agent gewähren.

Das Dienstkonto ist nicht berechtigt, eine Tabelle abzufragen

Dieses Problem tritt auf, wenn Cloud DLP versucht, ein Profil einer Tabelle zu erstellen, für die der Dienst-Agent nicht die entsprechende Berechtigung hat. Cloud DLP zeigt den folgenden Fehler an:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

  1. Prüfen Sie, ob die Tabelle noch vorhanden ist. Wenn die Tabelle vorhanden ist, führen Sie die nächsten Schritte aus.

  2. Aktivieren Sie Cloud Shell.

    Cloud Shell aktivieren

    Wenn Sie aufgefordert werden, Cloud Shell zu autorisieren, klicken Sie auf Autorisieren.

    Wenn Sie das bq-Befehlszeilentool des Cloud SDK verwenden möchten, installieren und initialisieren Sie alternativ das Cloud SDK.

  3. Rufen Sie die aktuelle IAM-Richtlinie für die Tabelle ab und drucken Sie sie an stdout:

    bq get-iam-policy TABLE
    

    Ersetzen Sie TABLE durch den vollständigen Ressourcennamen der BigQuery-Tabelle im Format PROJECT_ID:DATASET_ID.TABLE_ID, z. B. project-id:dataset-id.table-id.

  4. Weisen Sie dem Dienst-Agent die Rolle DLP API-Dienst-Agent (roles/dlp.serviceAgent) zu:

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
        --role=roles/dlp.serviceAgent TABLE
    

    Dabei gilt:

    • SERVICE_AGENT_ID: Die ID des Dienst-Agents, der die Tabelle abfragen muss, z. B. service-0123456789@dlp-api.iam.gserviceaccount.com.
    • TABLE: Der vollständige Ressourcenname der BigQuery-Tabelle im Format PROJECT_ID:DATASET_ID.TABLE_ID, z. B. project-id:dataset-id.table-id.

      Die entsprechende Ausgabe sieht etwa so aus:

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
    
    {
     "bindings": [
       {
         "members": [
           "serviceAccount:SERVICE_AGENT_ID"
         ],
         "role": "roles/dlp.serviceAgent"
       }
     ],
     "etag": "BwXNAPbVq+A=",
     "version": 1
    }
    

    Cloud DLP wiederholt regelmäßig Profiltabellen, für die kein Profil erstellt werden konnte.

Inspektionsvorlagen

In diesem Abschnitt sind mögliche Probleme mit Schaltung sowie Vorschläge zu deren Behebung aufgeführt.

Mit der Inspektionsvorlage kann kein Profil für Daten in einer anderen Region erstellt werden

Dieses Problem tritt auf, wenn Cloud DLP versucht, Profildaten zu erstellen, die sich nicht in derselben Region befinden, in der sich die Prüfvorlage befindet. Cloud DLP zeigt den folgenden Fehler an:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

In dieser Fehlermeldung ist DATA_REGION die Region, in der sich die Daten befinden, und TEMPLATE_REGION die Region, in der sich die Inspektionsvorlage befindet.

Zur Behebung dieses Problems können Sie die regionsspezifische Vorlage in die Region global kopieren:

  1. Rufen Sie die Konfigurationsliste auf.

    Zur Seite „Konfigurationen”

  2. Wechseln Sie bei Bedarf zu dem Projekt, das die zu verwendende Inspektionsvorlage enthält.

  3. Klicken Sie auf den Tab Vorlagen und dann auf den Tab Prüfen.

  4. Suchen Sie die Vorlage, die Sie verwenden möchten.

  5. Klicken Sie auf Aktionen und dann auf Kopieren.

  6. Wählen Sie auf der Seite Vorlage erstellen in der Liste Ressourcenstandort die Option Global (beliebige Region) aus.

  7. Klicken Sie auf Erstellen.

  8. Kopieren Sie auf der Seite Details zur Inspektionsvorlage den vollständigen Ressourcennamen der Vorlage. Der vollständige Ressourcenname hat dieses Format:

    projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
  9. Bearbeiten Sie die Scankonfiguration und geben Sie den vollständigen Ressourcennamen der neuen Inspektionsvorlage ein.

  10. Klicken Sie auf Speichern.

Cloud DLP wiederholt regelmäßig Profiltabellen, für die kein Profil erstellt werden konnte.