Memecahkan masalah terkait layanan penemuan

Halaman ini menunjukkan cara menyelesaikan masalah pada layanan penemuan Perlindungan Data Sensitif. Untuk informasi selengkapnya tentang layanan penemuan, lihat Profil data.

Agen layanan tidak memiliki izin untuk membaca kolom yang dikontrol akses

Masalah ini terjadi saat membuat profil tabel yang menerapkan keamanan tingkat kolom melalui tag kebijakan. Jika agen layanan tidak memiliki izin untuk mengakses kolom yang dibatasi, Perlindungan Data Sensitif akan menampilkan error berikut:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Untuk mengatasi masalah ini, di halaman Identity and Access Management (IAM), berikan peran Fine-Grained Reader kepada agen layanan Anda.

Buka IAM

Perlindungan Data Sensitif secara berkala mencoba ulang pembuatan profil tabel yang gagal dibuat profilnya.

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Memberikan satu peran.

Agen layanan tidak memiliki akses pembuatan profil data

Masalah ini terjadi setelah seseorang di organisasi Anda membuat konfigurasi pemindaian tingkat organisasi atau folder. Saat melihat detail konfigurasi pemindaian, Anda akan melihat bahwa nilai untuk Status pemindaian Aktif dengan error. Saat Anda melihat error tersebut, Perlindungan Data Sensitif akan menampilkan pesan error berikut:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Error ini terjadi karena Perlindungan Data Sensitif tidak dapat otomatis memberikan peran Driver Profil Data Organisasi DLP ke agen layanan Anda saat membuat konfigurasi pemindaian. Pembuat konfigurasi pemindaian tidak memiliki izin untuk memberikan akses pembuatan profil data, sehingga Perlindungan Data Sensitif tidak dapat melakukannya atas nama mereka.

Untuk mengatasi masalah ini, lihat Memberikan akses pembuatan profil data ke agen layanan.

Akun layanan tidak memiliki izin untuk membuat kueri tabel

Masalah ini terjadi saat Perlindungan Data Sensitif mencoba membuat profil tabel yang izinnya tidak dimiliki agen layanan untuk membuat kueri. Perlindungan Data Sensitif menunjukkan error berikut:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Untuk menyelesaikan masalah ini, ikuti langkah berikut:

  1. Pastikan tabel tersebut masih ada. Jika tabel tersebut sudah ada, lakukan langkah berikutnya.

  2. Aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Jika diminta untuk mengotorisasi Cloud Shell, klik Authorize.

    Atau, jika Anda ingin menggunakan alat command line bq dari Google Cloud CLI, instal dan inisialisasi Google Cloud CLI.

  3. Dapatkan kebijakan IAM saat ini untuk tabel, lalu cetak ke stdout:

    bq get-iam-policy TABLE
    

    Ganti TABLE dengan nama resource lengkap tabel BigQuery, dalam format PROJECT_ID:DATASET_ID.TABLE_ID—misalnya, project-id:dataset-id.table-id.

  4. Berikan peran Agen Layanan DLP API (roles/dlp.serviceAgent) ke agen layanan:

    bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
        --role=roles/dlp.serviceAgent TABLE
    

    Ganti kode berikut:

    • SERVICE_AGENT_ID: ID agen layanan yang perlu membuat kueri tabel—misalnya, service-0123456789@dlp-api.iam.gserviceaccount.com.
    • TABLE: Nama resource lengkap tabel BigQuery, dalam format PROJECT_ID:DATASET_ID.TABLE_ID—misalnya, project-id:dataset-id.table-id.

      Outputnya mirip dengan hal berikut ini:

    Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
    
    {
     "bindings": [
       {
         "members": [
           "serviceAccount:SERVICE_AGENT_ID"
         ],
         "role": "roles/dlp.serviceAgent"
       }
     ],
     "etag": "BwXNAPbVq+A=",
     "version": 1
    }
    

    Perlindungan Data Sensitif secara berkala mencoba ulang pembuatan profil tabel yang gagal dibuat profilnya.

Akun layanan tidak memiliki izin untuk memublikasikan ke topik Pub/Sub

Masalah ini terjadi saat Perlindungan Data Sensitif mencoba memublikasikan notifikasi ke topik Pub/Sub tempat agen layanan tidak memiliki akses publikasi. Perlindungan Data Sensitif menunjukkan error berikut:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

Untuk mengatasi masalah ini, berikan akses publikasi, pada level project atau topik, kepada agen layanan Anda. Contoh peran yang memiliki akses publikasi adalah peran Pub/Sub Publisher.

Jika ada masalah konfigurasi atau izin dengan topik Pub/Sub, Perlindungan Data Sensitif akan mencoba kembali mengirim notifikasi Pub/Sub hingga dua minggu. Setelah dua minggu, notifikasi tersebut akan dihapus.

Template inspeksi tidak dapat digunakan untuk membuat profil data di region yang berbeda

Masalah ini terjadi saat Perlindungan Data Sensitif mencoba membuat profil data yang tidak berada di wilayah yang sama dengan tempat template pemeriksaan berada. Perlindungan Data Sensitif menunjukkan error berikut:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

Dalam pesan error ini, DATA_REGION adalah region tempat data berada, dan TEMPLATE_REGION adalah region tempat template pemeriksaan berada.

Untuk mengatasi masalah ini, Anda dapat menyalin template spesifik per wilayah ke region global:

  1. Salin template inspeksi ke region global.

  2. Di halaman Inspection template details, salin nama lengkap resource template. Nama lengkap resource mengikuti format ini:

    projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID
  3. Edit konfigurasi pemindaian dan masukkan nama lengkap resource dari template pemeriksaan baru.

  4. Klik Simpan.

Perlindungan Data Sensitif secara berkala mencoba ulang pembuatan profil tabel yang gagal dibuat profilnya.

Perlindungan Data Sensitif mencoba membuat profil tabel yang tidak didukung

Masalah ini terjadi saat Perlindungan Data Sensitif mencoba membuat profil tabel yang tidak didukung. Untuk tabel tersebut, Anda masih mendapatkan profil parsial yang berisi metadata tabel. Namun, profil sebagian menunjukkan error berikut:

Unimplemented error: Table of type `TABLE_TYPE` is not currently supported for inspection. [DATE_TIME].

Jika Anda tidak ingin mendapatkan profil sebagian dan error untuk tabel yang tidak didukung, ikuti langkah-langkah berikut:

  1. Edit konfigurasi pemindaian.
  2. Pada langkah Kelola jadwal, klik Edit jadwal.
  3. Di panel yang muncul, klik tab Kondisi.
  4. Di bagian Tabel untuk dibuat profil, klik Buat profil tabel yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Mengelola jadwal.