Auf dieser Seite wird beschrieben, wie Sie mit den Verbindungen arbeiten, die der Schutz sensibler Daten herstellt, wenn Sie die Erkennung für Cloud SQL konfigurieren.
Dienst-Agent-ID abrufen
Sie benötigen die ID des Dienst-Agents, der Ihrer Scankonfiguration zugeordnet ist, um die Verfahren auf dieser Seite ausführen zu können. So rufen Sie die Dienst-Agent-ID ab:
Rufen Sie die Konfigurationsliste für den Discovery-Scan auf.
- Wählen Sie Ihre Scankonfiguration aus.
- Kopieren Sie auf der daraufhin angezeigten Detailseite die Service-Agent-ID. Die ID hat das Format einer E-Mail-Adresse.
Gewähren Sie dem Dienst-Agent die erforderlichen IAM-Rollen
Prüfen Sie, ob der mit Ihrer Scankonfiguration verknüpfte Dienst-Agent die erforderliche Treiberrolle hat:
- Wenn der Erkennungsvorgang die gesamte Organisation oder einen Ordner umfasst, muss der Dienst-Agent die Rolle „DLP Organization Data Profiles Driver“ (
roles/dlp.orgdriver
) haben. - Wenn der Erkennungsvorgang ein einzelnes Projekt umfasst, muss der Dienst-Agent die Rolle „DLP Project Data Profiles Driver“ (
roles/dlp.projectdriver
) haben.
- Wenn der Erkennungsvorgang die gesamte Organisation oder einen Ordner umfasst, muss der Dienst-Agent die Rolle „DLP Organization Data Profiles Driver“ (
Gewähren Sie dem Dienst-Agent die Rolle „Zugriffsfunktion für Secret Manager-Secrets“ (
roles/secretmanager.secretAccessor
).
Informationen zum Abrufen der Dienst-Agent-ID finden Sie auf dieser Seite unter Dienst-Agent-ID abrufen.
Weitere Informationen finden Sie in der Dokumentation zu Identity and Access Management unter Dienst-Agents Rollen zuweisen.
Nutzer für jede Cloud SQL-Instanz erstellen
Erstellen Sie für jede Instanz, die für die Erkennung infrage kommt, ein Nutzerkonto mit den Berechtigungen, die zum Erstellen von Profilen für Ihre Daten erforderlich sind.
Sie können ein vorhandenes Nutzerkonto verwenden. Achten Sie aber darauf, dass dieses Konto die in diesem Abschnitt aufgeführten Berechtigungen hat.
Nutzer für eine Cloud SQL for MySQL-Instanz erstellen
In diesem Abschnitt wird beschrieben, wie Sie ein MySQL-Nutzerkonto zur Verwendung mit der Datenprofilerstellung erstellen. Unabhängig davon, ob Sie ein Nutzerkonto erstellen oder ein vorhandenes wiederverwenden, muss das Konto das Authentifizierungs-Plug-in mysql_native_password
haben.
Dieser Abschnitt enthält Informationen zum Ändern eines vorhandenen Datenbanknutzerkontos, um dieses Authentifizierungs-Plug-in zu verwenden.
- Stellen Sie eine Verbindung zur Instanz her.
Bereiten Sie das Datenbank-Nutzerkonto vor.
Wenn Sie einen Datenbanknutzer erstellen möchten, führen Sie über die
mysql
-Eingabeaufforderung den folgenden Befehl aus:CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Ersetzen Sie Folgendes:
USERNAME
: Nutzername des NutzerkontosPASSWORD
: Passwort des Nutzerkontos
Weitere Informationen finden Sie unter CREATE USER-Anweisung in der MySQL-Dokumentation.
Wenn Sie ein vorhandenes Datenbanknutzerkonto verwenden möchten, das nicht das Authentifizierungs-Plug-in
mysql_native_password
verwendet, ändern Sie das Authentifizierungs-Plug-in dieses Kontos mit dem BefehlALTER USER
:ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Weitere Informationen finden Sie unter ALTER USER-Anweisung in der MySQL-Dokumentation.
Gewähren Sie dem Nutzer die Berechtigungen
SELECT
undSHOW VIEW
.GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
Die Ausgabe sieht in etwa so aus:
Query OK, 0 rows affected (0.00 sec)
Weitere Informationen finden Sie unter GRANT-Anweisung in der MySQL-Dokumentation.
Optional: Wenn ein Profil für
performance_schema.log_status
erstellt werden soll, gewähren Sie dem Nutzer die BerechtigungBACKUP_ADMIN
. Weitere Informationen finden Sie unter MySQL-Leistungsschema in der MySQL-Dokumentation.GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
Erstellen Sie in Secret Manager ein Secret zum Speichern des Passworts. Erstellen Sie das Secret in dem Projekt, das die Cloud SQL-Instanz enthält.
Notieren Sie sich den Ressourcennamen des Secrets.
Nutzer für eine Cloud SQL for PostgreSQL-Instanz erstellen
Bei Cloud SQL for PostgreSQL-Instanzen unterstützt der Schutz sensibler Daten zwei Arten von Nutzerkonten:
- Ein integriertes Nutzerkonto, das über PostgreSQL erstellt wurde.
- Ein IAM-Hauptkonto, insbesondere der Dienst-Agent, der Ihrer Scankonfiguration zugeordnet ist.
Option 1: Integriertes Nutzerkonto in PostgreSQL erstellen
In diesem Abschnitt wird beschrieben, wie Sie ein integriertes Nutzerkonto über PostgreSQL erstellen.
- Stellen Sie eine Verbindung zur Instanz her.
Führen Sie an der
postgres
-Eingabeaufforderung den folgenden Befehl aus, um den Nutzer zu erstellen:CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
Ersetzen Sie Folgendes:
USERNAME
: Nutzername des NutzerkontosPASSWORD
: Passwort des Nutzerkontos
Die Ausgabe sieht in etwa so aus:
CREATE ROLE
Weitere Informationen finden Sie unter CREATE USER in der PostgreSQL-Dokumentation.
Weisen Sie dem Nutzer die Rolle
pg_read_all_data
zu:GRANT pg_read_all_data TO USERNAME;
Die Ausgabe sieht in etwa so aus:
GRANT ROLE
Weitere Informationen finden Sie in der PostgreSQL-Dokumentation unter GRANT.
Erstellen Sie in Secret Manager ein Secret zum Speichern des Passworts.
- Wenn der Erkennungsvorgang die gesamte Organisation oder einen Ordner umfasst, erstellen Sie das Secret in dem Projekt, das die Cloud SQL-Instanz enthält.
- Wenn der Erkennungsvorgang ein einzelnes Projekt umfasst, erstellen Sie das Secret in diesem Projekt.
Notieren Sie sich den Ressourcennamen des Secrets.
Option 2: Dienst-Agent als Nutzer in die Instanz einfügen (nur PostgreSQL)
Führen Sie diese Schritte nur aus, wenn Sie eine Cloud SQL for PostgreSQL-Instanz konfigurieren.
Folgen Sie der Anleitung zum Hinzufügen eines IAM-Dienstkontos zu einer Datenbank in der Cloud SQL for PostgreSQL-Dokumentation.
Das von Ihnen angegebene Dienstkonto muss der Dienst-Agent sein, der der Scankonfiguration zugeordnet ist. Informationen zum Abrufen der Dienst-Agent-ID finden Sie auf dieser Seite unter Dienst-Agent-ID abrufen.
Weisen Sie in PostgreSQL dem Dienst-Agent die Rolle
pg_read_all_data
zu:GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
Ersetzen Sie
TRUNCATED_SERVICE_AGENT_ID
durch die Service-Agent-ID ohne das Suffix.gserviceaccount.com
, z. B.service-1234567890@dlp-api.iam
.Die Ausgabe sieht in etwa so aus:
GRANT ROLE
Zugriff auf Cloud SQL-Instanzen gewähren
Nachdem Sie die Scankonfiguration erstellt haben, erstellt der Schutz sensibler Daten automatisch Standarddienstverbindungen für jede Instanz, die für die Erkennung vorgesehen ist. Bevor die Profilerstellung gestartet werden kann, müssen Sie für jede Dienstverbindung die Anmeldedaten für jede Cloud SQL-Instanz angeben.
So aktualisieren Sie eine Verbindung:
Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.
Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie für die Verbindung, die Sie aktualisieren möchten, auf > Anmeldedaten verwalten.
AktionenFühren Sie im angezeigten Bereich einen der folgenden Schritte aus:
- Anmeldedaten für das Nutzerkonto angeben
- Dienst-Agent als Nutzerkonto verwenden (nur für Cloud SQL for PostgreSQL-Instanzen unterstützt)
Anmeldedaten für Nutzerkonto angeben
Geben Sie den Nutzernamen und die Secret Manager-Ressource ein, die das Passwort enthält. Die Secret Manager-Ressource muss das folgende Format haben:
projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER
Ersetzen Sie Folgendes:
PROJECT_NUMBER
: die numerische ID Ihres ProjektsSECRET_NAME
: der Name des Secrets, das das Passwort enthältVERSION_NUMBER
: die Versionsnummer des Secrets. Verwenden Sielatest
, um die neueste Version bereitzustellen.
Dienst-Agent als Nutzerkonto verwenden
Diese Option ist nur für Cloud SQL for PostgreSQL-Instanzen verfügbar.
Wählen Sie Cloud SQL IAM-Datenbankauthentifizierung aus, um den Dienst-Agent als Nutzerkonto zu verwenden.
Maximale Anzahl gleichzeitiger Verbindungen zu einer Instanz aktualisieren
Standardmäßig verwendet der Schutz sensibler Daten maximal zwei gleichzeitige Verbindungen, um die Auswirkungen der Erkennung auf Ihre Cloud SQL-Instanzen zu minimieren. Wir empfehlen, diesen Wert auf einen angemessenen Wert für die Instanzgröße und -auslastung zu erhöhen.
Weitere Informationen finden Sie in der Cloud SQL-Dokumentation unter Maximale Anzahl gleichzeitiger Verbindungen.
So ändern Sie das maximale Verbindungslimit für den Erkennungsdienst:
Rufen Sie in der Google Cloud Console die Seite Dienstverbindungen auf.
Ihre Verbindungen werden in einer Liste angezeigt.
Klicken Sie für die Verbindung, die Sie aktualisieren möchten, auf > Verbindungslimit verwalten.
AktionenGeben Sie im angezeigten Bereich das neue Limit ein.
Klicken Sie auf Fertig.