Solución de problemas con el generador de perfiles de datos

En esta página, se muestra cómo resolver problemas con el generador de perfiles de datos de Cloud Data Loss Prevention (DLP).

Permisos

En esta sección, se enumeran los problemas de acceso que puedes encontrar y se proporcionan sugerencias para solucionarlos.

El agente de servicio no tiene permiso para leer una columna de acceso controlado

Este problema se produce cuando se genera un perfil de una tabla que aplica seguridad a nivel de columna a través de etiquetas de política. Si el agente de servicio no tiene permiso para acceder a la columna restringida, Cloud DLP muestra el siguiente error:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Para resolver este problema, en la página Administración de identidades y accesos (IAM), otorga a tu agente de servicio la función de Lector detallado.

Ir a IAM

Cloud DLP vuelve a intentar de forma periódica las tablas de generación de perfiles en las que no se pudo generar un perfil.

Para obtener más información sobre cómo otorgar una función, consulta Otorga una sola función.

El agente de servicio no tiene acceso a la generación de perfiles de datos

Este problema ocurre después de que un miembro de la organización crea una configuración de análisis a nivel de la organización o de la carpeta. Cuando ves los detalles de la configuración de análisis, ves que el valor de Scan status es Active with errors. Cuando veas el error, Cloud DLP mostrará el siguiente mensaje de error:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Este error se produjo porque Cloud DLP no pudo otorgar de forma automática la función de controlador de perfiles de datos de la organización de DLP a tu agente de servicio mientras creaba la configuración de análisis. El creador de la configuración de análisis no tiene permisos para otorgar acceso a la generación de perfiles de datos, por lo que Cloud DLP no pudo hacerlo en su nombre.

Para resolver este problema, consulta Otorga acceso a la generación de perfiles de datos a un agente de servicio.

La cuenta de servicio no tiene permiso para consultar una tabla

Este problema ocurre cuando Cloud DLP intenta generar un perfil de una tabla que el agente de servicio no tiene permiso para consultar. Cloud DLP muestra el siguiente error:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Para resolver el problema, sigue estos pasos:

  1. Confirma que la tabla aún existe. Si la tabla ya existe, realiza los siguientes pasos.

  2. Activa Cloud Shell.

    Activa Cloud Shell.

    Si se te solicita que autorices Cloud Shell, haz clic en Autorizar.

    Como alternativa, si deseas usar la herramienta de línea de comandos de bq desde el SDK de Cloud, instala y, luego, inicializa el SDK de Cloud.

  3. Obtén la política de IAM actual para la tabla y, luego, imprímela en stdout:

    bq get-iam-policy TABLE
    

    Reemplaza TABLE por el nombre completo del recurso de la tabla de BigQuery, en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo, project-id:dataset-id.table-id.

  4. Otorga la función de agente de servicios de la API de DLP (roles/dlp.serviceAgent) al agente de servicios:

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
        --role=roles/dlp.serviceAgent TABLE
    

    Reemplaza lo siguiente:

    • SERVICE_AGENT_ID: El ID del agente de servicio que necesita consultar la tabla, por ejemplo, service-0123456789@dlp-api.iam.gserviceaccount.com.
    • TABLE: Es el nombre completo del recurso de la tabla de BigQuery, en el formato PROJECT_ID:DATASET_ID.TABLE_ID, por ejemplo, project-id:dataset-id.table-id.

      El resultado es similar a este:

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
    
    {
     "bindings": [
       {
         "members": [
           "serviceAccount:SERVICE_AGENT_ID"
         ],
         "role": "roles/dlp.serviceAgent"
       }
     ],
     "etag": "BwXNAPbVq+A=",
     "version": 1
    }
    

    Cloud DLP vuelve a intentar de forma periódica las tablas de generación de perfiles en las que no se pudo generar un perfil.

Plantillas de inspección

En esta sección, se enumeran los problemas que pueden surgir en las plantillas de inspección y se proporcionan sugerencias para solucionarlos.

La plantilla de inspección no se puede usar para generar perfiles de datos en otra región

Este problema ocurre cuando Cloud DLP intenta generar perfiles de datos que no residen en la misma región en la que reside la plantilla de inspección. Cloud DLP muestra el siguiente error:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

En este mensaje de error, DATA_REGION es la región en la que residen los datos, y TEMPLATE_REGION es la región donde reside la plantilla de inspección.

Para resolver este problema, puedes copiar la plantilla específica de la región a la región global:

  1. Ve a tu lista de opciones de configuración.

    Ir a Configuraciones

  2. Si es necesario, cambia al proyecto que contiene la plantilla de inspección que deseas usar.

  3. Haga clic en la pestaña Plantillas y, luego, en la pestaña secundaria Inspeccionar.

  4. Busca la plantilla que deseas usar.

  5. Haz clic en Acciones y, luego, en Copiar.

  6. En la página Crear plantilla, en la lista Ubicación de recursos, selecciona Global (cualquier región).

  7. Haga clic en Crear.

  8. En la página Detalles de la plantilla de inspección, copia el nombre completo del recurso de la plantilla. El nombre completo del recurso sigue este formato:

    projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
  9. Edita la configuración del análisis y, luego, ingresa el nombre completo del recurso de la plantilla de inspección nueva.

  10. Haz clic en Guardar.

Cloud DLP vuelve a intentar de forma periódica las tablas de generación de perfiles en las que no se pudo generar un perfil.