Risoluzione dei problemi relativi al profiler dei dati

Questa pagina mostra come risolvere i problemi relativi al profiler di dati di Cloud Data Loss Prevention.

Autorizzazioni

In questa sezione sono elencati i problemi di accesso che potresti riscontrare e vengono forniti suggerimenti su come risolverli.

L'agente di servizio non dispone dell'autorizzazione per leggere una colonna con controllo dell'accesso

Questo problema si verifica quando viene profilata una tabella che applica la sicurezza a livello di colonna tramite i tag dei criteri. Se l'agente di servizio non dispone dell'autorizzazione per accedere alla colonna con restrizioni, Cloud DLP mostra il seguente errore:

Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing a BigQuery table. Access Denied: BigQuery BigQuery: User does
not have permission to access policy tag "POLICY_TAG_ID" on column FIELD_NAME.

Per risolvere il problema, nella pagina IAM (Gestione di identità e accessi), concedi al tuo agente di servizio il ruolo Lettore granulare.

Vai a IAM

Cloud DLP riprova periodicamente le tabelle di profilazione che non è stato possibile profiliare.

Per ulteriori informazioni sulla concessione di un ruolo, vedi Concedere un singolo ruolo.

L'agente di servizio non ha accesso alla profilazione dei dati

Questo problema si verifica dopo che un utente della tua organizzazione ha creato una configurazione di scansione a livello di organizzazione o cartella. Quando visualizzi i dettagli della configurazione della scansione, noti che il valore per Stato scansione è Attivo con errori. Quando visualizzi l'errore, Cloud DLP mostra il seguente messaggio di errore:

None of the driver projects (PROJECT_ID) have MISSING_PERMISSION
permission for organizations/ORGANIZATION_ID.

Questo errore si è verificato perché Cloud DLP non ha potuto concedere automaticamente il ruolo Driver profili di dati dell'organizzazione DLP all'agente di servizio durante la creazione della configurazione di scansione. L'autore della configurazione della scansione non dispone delle autorizzazioni per concedere l'accesso alla profilazione dei dati, pertanto Cloud DLP non è riuscito a eseguire l'operazione per suo conto.

Per risolvere il problema, vedi Concedi l'accesso alla profilazione dei dati a un agente di servizio.

L'account di servizio non dispone dell'autorizzazione per eseguire query su una tabella

Questo problema si verifica quando Cloud DLP tenta di creare un profilo di una tabella per cui l'agente di servizio non dispone dell'autorizzazione necessaria per eseguire query. Cloud DLP mostra il seguente errore:

Permission denied error: Permission denied for DLP API service account 'SERVICE_AGENT_ID'
while accessing BigQuery table. Access Denied: Table TABLE: User does not have
permission to query table TABLE. Permission denied for DLP API service account
'SERVICE_AGENT_ID' while accessing BigQuery table. Access Denied: Table TABLE:
User does not have permission to query TABLE. [TIMESTAMP]

Per risolvere il problema:

1. Conferma che la tabella sia ancora esistente. Se la tabella esiste, esegui i passaggi successivi.

2. Attiva Cloud Shell.

   Attiva Cloud Shell

   Se ti viene richiesto di autorizzare Cloud Shell, fai clic su Autorizza.

   In alternativa, se vuoi utilizzare lo strumento a riga di comando bq dell'interfaccia a riga di comando di Google Cloud, installa e inizializza l'interfaccia a riga di comando di Google Cloud.

3. Recupera l'attuale criterio IAM per la tabella e stampalo su stdout:

   bq get-iam-policy TABLE
   

   Sostituisci TABLE con il nome completo della risorsa della tabella BigQuery, nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio project-id:dataset-id.table-id.

4. Concedi il ruolo di agente di servizio API DLP (roles/dlp.serviceAgent) all'agente di servizio:

   bq add-iam-policy-binding --member=serviceAccount:SERVICE_AGENT_ID \
       --role=roles/dlp.serviceAgent TABLE
   

   Sostituisci quanto segue:

   • SERVICE_AGENT_ID: l'ID dell'agente di servizio che deve eseguire query sulla tabella, ad esempio service-0123456789@dlp-api.iam.gserviceaccount.com.

   • TABLE: nome completo della risorsa nella tabella BigQuery, nel formato PROJECT_ID:DATASET_ID.TABLE_ID, ad esempio project-id:dataset-id.table-id.

     L'output è simile al seguente:

   Successfully added member 'SERVICE_AGENT_ID' to role 'roles/dlp.serviceAgent' in IAM policy for table 'TABLE':
   
   {
    "bindings": [
      {
        "members": [
          "serviceAccount:SERVICE_AGENT_ID"
        ],
        "role": "roles/dlp.serviceAgent"
      }
    ],
    "etag": "BwXNAPbVq+A=",
    "version": 1
   }
   

   Cloud DLP riprova periodicamente le tabelle di profilazione che non è stato possibile profiliare.

L'account di servizio non dispone dell'autorizzazione per pubblicare contenuti in un argomento Pub/Sub

Questo problema si verifica quando Cloud DLP tenta di pubblicare notifiche in un argomento Pub/Sub in cui l'agente di servizio non dispone dell'accesso per la pubblicazione. Cloud DLP mostra il seguente errore:

Permission missing to publish notifications on Cloud Pub/Sub topic 'TOPIC_NAME'.
The DLP API service account 'SERVICE_AGENT_ID' must must have at least the Pub/Sub Publisher role.

Per risolvere il problema, concedi l'accesso in pubblicazione a livello di progetto o di argomento all'agente di servizio. Un esempio di ruolo con accesso in pubblicazione è il ruolo Publisher Pub/Sub.

Modelli di ispezione

In questa sezione sono elencati i problemi che potresti riscontrare con i modelli di ispezione e vengono forniti suggerimenti su come risolverli.

Il modello di ispezione non può essere utilizzato per profilare i dati in un'altra area geografica

Questo problema si verifica quando Cloud DLP cerca di profilo i dati che non si trovano nella stessa area geografica in cui si trova il modello di ispezione. Cloud DLP mostra il seguente errore:

Data in region DATA_REGION cannot be profiled using template in region
TEMPLATE_REGION. Regional template can only be used to profile data
in the same region. If profiling data in multiple regions, use a global template.

In questo messaggio di errore, DATA_REGION è l'area geografica in cui si trovano i dati e TEMPLATE_REGION è l'area geografica in cui si trova il modello di ispezione.

Per risolvere il problema, puoi copiare il modello specifico per area geografica nell'area geografica global:

1. Copia il modello di ispezione nell'area geografica global.

2. Nella pagina Dettagli modello di ispezione, copia il nome completo della risorsa del modello. Il nome completo della risorsa segue questo formato:

   projects/PROJECT_ID/locations/REGION/inspectTemplates/TEMPLATE_ID

3. Modifica la configurazione di scansione e inserisci il nome completo della risorsa del nuovo modello di ispezione.

4. Fai clic su Salva.

Cloud DLP riprova periodicamente le tabelle di profilazione che non è stato possibile profiliare.