Solución de problemas con el generador de perfiles de datos

En esta página, se muestra cómo resolver problemas con el generador de perfiles de datos de Cloud Data Loss Prevention.

Permisos

En esta sección, se enumeran los errores de acceso que puedes encontrar y se proporcionan sugerencias para solucionarlos.

El agente de servicio no tiene permiso para leer una columna de acceso controlado

Este problema se produce cuando se genera un perfil de una tabla que aplica la seguridad a nivel de la columna mediante etiquetas de política. Si el agente de servicio no tiene permiso para acceder a la columna restringida, Cloud DLP muestra el siguiente error:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Para resolver este problema, en la página Identity and Access Management (IAM), otorga a tu agente de servicio la función de lector detallado.

Ir a IAM

Cloud DLP reintenta periódicamente la creación de perfiles de las tablas que no se pudieron generar con un perfil.

Para obtener más información sobre cómo otorgar una función, consulta Cómo otorgar una sola función.

El agente de servicio no tiene acceso a la generación de perfiles de datos

Este problema ocurre después de que un miembro de tu organización crea una configuración de análisis a nivel de la organización o de la carpeta. Cuando ves los detalles de la configuración del análisis, ves que el valor de Estado del análisis es Activo con errores. Cuando veas el error, Cloud DLP mostrará el siguiente mensaje de error:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Este error se produjo porque Cloud DLP no pudo otorgar de forma automática la función de controlador de perfiles de datos de la organización de DLP a tu agente de servicio mientras se creaba la configuración de análisis. El creador de la configuración de análisis no tiene permisos para otorgar acceso a la generación de perfiles de datos, por lo que Cloud DLP no pudo hacerlo en su nombre.

Para resolver este problema, consulta Cómo otorgar acceso a un perfil de servicio para la generación de perfiles de datos.

La cuenta de servicio no tiene permiso para consultar una tabla

Este problema ocurre cuando Cloud DLP intenta generar un perfil para una tabla que el agente de servicio no tiene permiso para consultar. Cloud DLP muestra el siguiente error:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Para resolver este problema, sigue estos pasos:

1. Confirma que la tabla aún exista. Si la tabla ya existe, realiza los siguientes pasos.

2. Activa Cloud Shell.

   Activar Cloud Shell

   Si se le solicita que autorice Cloud Shell, haga clic en Autorizar.

   Como alternativa, si quieres usar la herramienta de línea de comandos de bq desde la CLI de Google Cloud, instala e inicializa la CLI de Google Cloud.

3. Obtén la política de IAM actual de la tabla y, luego, imprímela en stdout:

   bq get-iam-policy TABLE
   

   Reemplaza TABLE por el nombre completo del recurso de la tabla de BigQuery, en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo, project-id:dataset-id.table-id.

4. Otorga la función de agente de servicio de la API de DLP (roles/dlp.serviceAgent) al agente de servicio:

   bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
       --role=roles/dlp.serviceAgent TABLE
   

   Reemplaza lo siguiente:

   • SERVICE_AGENT_ID: Es el ID del agente de servicio que debe consultar la tabla, por ejemplo, service-0123456789@dlp-api.iam.gserviceaccount.com.

   • TABLE: Es el nombre completo del recurso de la tabla de BigQuery, en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo, project-id:dataset-id.table-id.

     El resultado es similar al siguiente:

   Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
   
   {
    "bindings": [
      {
        "members": [
          "serviceAccount:SERVICE_AGENT_ID"
        ],
        "role": "roles/dlp.serviceAgent"
      }
    ],
    "etag": "BwXNAPbVq+A=",
    "version": 1
   }
   

   Cloud DLP reintenta periódicamente la creación de perfiles de las tablas que no se pudieron generar con un perfil.

La cuenta de servicio no tiene permiso para publicar en un tema de Pub/Sub

Este problema ocurre cuando Cloud DLP intenta publicar notificaciones en un tema de Pub/Sub en el que el agente de servicio no tiene acceso de publicación. Cloud DLP muestra el siguiente error:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

Para resolver este problema, otorga acceso de publicación a nivel de proyecto o tema a tu agente de servicio. Un ejemplo de una función que tiene acceso de publicación es la función de Publicador de Pub/Sub.

Plantillas de inspección

En esta sección, se enumeran los errores que puedes encontrar con plantillas de inspección y se proporcionan sugerencias para solucionarlos.

No se puede usar la plantilla de inspección para generar perfiles de datos en una región diferente

Este problema ocurre cuando Cloud DLP intenta generar perfiles de datos que no residen en la misma región donde reside la plantilla de inspección. Cloud DLP muestra el siguiente error:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

En este mensaje de error, DATA_REGION es la región donde residen los datos y TEMPLATE_REGION es la región donde reside la plantilla de inspección.

Para resolver este problema, puedes copiar la plantilla específica por región a la región global:

1. Copia la plantilla de inspección en la región global.

2. En la página Inspection template details, copia el nombre completo del recurso de la plantilla. El nombre completo del recurso tiene el siguiente formato:

   projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

3. Edita la configuración del análisis y, luego, ingresa el nombre completo del recurso de la plantilla de inspección nueva.

4. Haz clic en Guardar.

Cloud DLP reintenta periódicamente la creación de perfiles de las tablas que no se pudieron generar con un perfil.