Résoudre des problèmes liés au profileur de données

Cette page vous explique comment résoudre les problèmes liés au profileur de données pour Cloud Data Loss Prevention (DLP).

Autorisations

Cette section répertorie les problèmes d'accès que vous pouvez rencontrer et suggère des solutions pour y remédier.

L'agent de service n'est pas autorisé à lire une colonne dont l'accès est contrôlé

Ce problème se produit lors du profilage d'une table qui applique la sécurité au niveau des colonnes via des tags avec stratégie. Si l'agent de service n'est pas autorisé à accéder à la colonne restreinte, Cloud DLP affiche l'erreur suivante:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Pour résoudre ce problème, sur la page IAM (gestion de l'authentification et des accès), accordez à votre agent de service le rôle de lecteur détaillé.

Accéder à IAM

Cloud DLP relance régulièrement le profilage des tables dont le profilage a échoué.

Pour en savoir plus sur l'attribution d'un rôle, consultez la section Accorder un seul rôle.

L'agent de service ne dispose pas d'un accès au profilage des données

Ce problème survient lorsqu'un membre de votre organisation crée une configuration d'analyse au niveau de l'organisation ou du dossier. Lorsque vous affichez les détails de la configuration de l'analyse, vous constatez que la valeur de l'option État de l'analyse est Active avec des erreurs. Lorsque vous affichez l'erreur, Cloud DLP affiche le message d'erreur suivant:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Cette erreur s'est produite, car Cloud DLP n'a pas pu accorder automatiquement le rôle Pilote de profils de données d'organisation DLP à votre agent de service lors de la création de la configuration de l'analyse. Le créateur de la configuration d'analyse ne dispose pas des autorisations nécessaires pour accorder l'accès au profilage des données. Cloud DLP n'a donc pas pu le faire en son nom.

Pour résoudre ce problème, consultez Accorder l'accès au profilage des données à un agent de service.

Le compte de service n'est pas autorisé à interroger une table

Ce problème survient lorsque Cloud DLP tente de profiler une table que l'agent de service n'est pas autorisé à interroger. Cloud DLP affiche l'erreur suivante:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Pour résoudre ce problème, procédez comme suit:

  1. Vérifiez que la table existe toujours. Si la table existe, procédez comme suit.

  2. Activez Cloud Shell.

    Activer Cloud Shell

    Si vous êtes invité à autoriser Cloud Shell, cliquez sur Authorize (Autoriser).

    Si vous souhaitez utiliser l'outil de ligne de commande bq du SDK Cloud, installez et initialisez le SDK Cloud.

  3. Obtenez la stratégie IAM actuelle pour la table, puis imprimez-la dans stdout:

    bq get-iam-policy TABLE
    

    Remplacez TABLE par le nom complet de la ressource de la table BigQuery, au format PROJECT_ID:DATASET_ID.TABLE_ID (par exemple, project-id:dataset-id.table-id).

  4. Attribuez le rôle Agent de service de l'API DLP (roles/dlp.serviceAgent) à l'agent de service:

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
        --role=roles/dlp.serviceAgent TABLE
    

    Remplacez les éléments suivants :

    • SERVICE_AGENT_ID: ID de l'agent de service qui doit interroger la table (par exemple, service-0123456789@dlp-api.iam.gserviceaccount.com).
    • TABLE: nom complet de la ressource de la table BigQuery, au format PROJECT_ID:DATASET_ID.TABLE_ID (par exemple, project-id:dataset-id.table-id).

      Le résultat ressemble à ce qui suit :

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
    
    {
     "bindings": [
       {
         "members": [
           "serviceAccount:SERVICE_AGENT_ID"
         ],
         "role": "roles/dlp.serviceAgent"
       }
     ],
     "etag": "BwXNAPbVq+A=",
     "version": 1
    }
    

    Cloud DLP relance régulièrement le profilage des tables dont le profilage a échoué.

Modèles d'inspection

Cette section répertorie les problèmes que vous pouvez rencontrer avec les modèles d'inspection et fournit des suggestions pour les résoudre.

Impossible d'utiliser le modèle d'inspection pour profiler des données dans une autre région

Ce problème survient lorsque Cloud DLP tente de profiler des données qui ne résident pas dans la même région que le modèle d'inspection. Cloud DLP affiche l'erreur suivante:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

Dans ce message d'erreur, DATA_REGION correspond à la région où se trouvent les données et TEMPLATE_REGION à la région où se trouve le modèle d'inspection.

Pour résoudre ce problème, vous pouvez copier le modèle spécifique à la région dans la région global:

  1. Accédez à la liste de vos configurations.

    Accéder à "Configurations"

  2. Si nécessaire, basculez vers le projet contenant le modèle d'inspection que vous souhaitez utiliser.

  3. Cliquez sur l'onglet Modèles, puis sur le sous-onglet Inspecter.

  4. Recherchez le modèle que vous souhaitez utiliser.

  5. Cliquez sur Actions, puis sur Copier.

  6. Sur la page Créer un modèle, dans la liste Emplacement de la ressource, sélectionnez Monde (n'importe quelle région).

  7. Cliquez sur Create (Créer).

  8. Sur la page Détails du modèle d'inspection, copiez le nom complet de la ressource du modèle. Le nom complet de la ressource suit le format suivant:

    projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
  9. Modifiez la configuration de l'analyse et saisissez le nom complet de la ressource du nouveau modèle d'inspection.

  10. Cliquez sur Enregistrer.

Cloud DLP relance régulièrement le profilage des tables dont le profilage a échoué.