Mengelola koneksi untuk digunakan dengan penemuan

Halaman ini menjelaskan cara menggunakan koneksi yang dibuat oleh Perlindungan Data Sensitif saat Anda mengonfigurasi penemuan untuk Cloud SQL.

Mendapatkan ID agen layanan

Untuk melakukan prosedur di halaman ini, Anda memerlukan ID agen layanan yang terkait dengan konfigurasi pemindaian. Untuk mendapatkan ID agen layanan, ikuti langkah-langkah berikut:

  1. Buka daftar konfigurasi pemindaian penemuan.

    Buka konfigurasi pemindaian penemuan

  2. Pilih konfigurasi pemindaian Anda.
  3. Di halaman detail yang terbuka, salin ID agen layanan. ID ini menggunakan format alamat email.

Memberikan peran IAM yang diperlukan ke agen layanan Anda

  1. Pastikan agen layanan yang terkait dengan konfigurasi pemindaian Anda memiliki peran driver yang diperlukan:

    • Jika cakupan operasi penemuan Anda adalah seluruh organisasi atau folder, pastikan agen layanan memiliki peran DLP Organization Data Profiles Driver (roles/dlp.orgdriver).
    • Jika cakupan operasi penemuan Anda adalah satu project, pastikan agen layanan memiliki peran DLP Project Data Profiles Driver (roles/dlp.projectdriver).
  2. Berikan peran Secret Manager Secret Accessor (roles/secretmanager.secretAccessor) kepada agen layanan.

Untuk mendapatkan ID agen layanan, lihat Mendapatkan ID agen layanan di halaman ini.

Untuk mengetahui informasi selengkapnya, lihat Memberikan peran kepada agen layanan dalam dokumentasi Identity and Access Management.

Membuat pengguna untuk setiap instance Cloud SQL

Untuk setiap instance yang termasuk dalam cakupan penemuan, buat akun pengguna yang memiliki hak istimewa yang diperlukan untuk membuat profil data Anda.

Anda dapat menggunakan akun pengguna yang ada, tetapi Anda harus memastikan bahwa akun tersebut memiliki hak istimewa yang tercantum di bagian ini.

Membuat pengguna untuk instance Cloud SQL untuk MySQL

Bagian ini menjelaskan cara membuat akun pengguna MySQL untuk digunakan dengan pembuatan profil data. Baik Anda membuat akun pengguna atau menggunakan kembali akun yang ada, akun tersebut harus memiliki plugin autentikasi mysql_native_password. Bagian ini mencakup informasi tentang cara mengubah akun pengguna database yang ada untuk menggunakan plugin autentikasi ini.

  1. Terhubung ke instance.
  2. Siapkan akun pengguna database.

    • Jika Anda ingin membuat pengguna database, pada prompt mysql, jalankan perintah berikut:

      CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
      

      Ganti kode berikut:

      • USERNAME: nama pengguna akun pengguna
      • PASSWORD: sandi akun pengguna

      Untuk informasi selengkapnya, lihat Pernyataan CREATE USER dalam dokumentasi MySQL.

    • Jika Anda ingin menggunakan akun pengguna database yang ada dan tidak menggunakan plugin autentikasi mysql_native_password, gunakan perintah ALTER USER untuk mengubah plugin autentikasi akun tersebut:

      ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
      

      Untuk mengetahui informasi selengkapnya, lihat Pernyataan ALTER USER dalam dokumentasi MySQL.

  3. Berikan hak istimewa SELECT dan SHOW VIEW kepada pengguna.

    GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
    

    Outputnya mirip dengan hal berikut ini:

    Query OK, 0 rows affected (0.00 sec)

    Untuk mengetahui informasi selengkapnya, lihat Pernyataan GRANT dalam dokumentasi MySQL.

  4. Opsional: Jika Anda ingin performance_schema.log_status dibuat profilnya, berikan hak istimewa BACKUP_ADMIN kepada pengguna. Untuk informasi selengkapnya, lihat Skema Performa MySQL dalam dokumentasi MySQL.

    GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
    
  5. Di Secret Manager, buat secret untuk menyimpan sandi. Buat secret di project yang berisi instance Cloud SQL.

    Catat nama resource secret.

Membuat pengguna untuk instance Cloud SQL untuk PostgreSQL

Untuk instance Cloud SQL untuk PostgreSQL, Perlindungan Data Sensitif mendukung dua jenis akun pengguna:

  • Akun pengguna bawaan yang dibuat melalui PostgreSQL.
  • Akun utama IAM, khususnya, agen layanan yang terkait dengan konfigurasi pemindaian Anda.

Opsi 1: Membuat akun pengguna bawaan di PostgreSQL

Bagian ini menjelaskan cara membuat akun pengguna bawaan melalui PostgreSQL.

  1. Terhubung ke instance.
  2. Pada prompt postgres, jalankan perintah berikut untuk membuat pengguna:

    CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
    

    Ganti kode berikut:

    • USERNAME: nama pengguna akun pengguna
    • PASSWORD: sandi akun pengguna

    Outputnya mirip dengan hal berikut ini:

    CREATE ROLE

    Untuk informasi selengkapnya, lihat CREATE USER dalam dokumentasi PostgreSQL.

  3. Berikan peran pg_read_all_data kepada pengguna:

    GRANT pg_read_all_data TO USERNAME;
    

    Outputnya mirip dengan hal berikut ini:

    GRANT ROLE

    Untuk informasi selengkapnya, lihat GRANT dalam dokumentasi PostgreSQL.

  4. Di Secret Manager, buat secret untuk menyimpan sandi. Buat secret di project yang berisi instance Cloud SQL.

    Catat nama resource secret.

Opsi 2: Tambahkan agen layanan sebagai pengguna di instance (khusus PostgreSQL)

Ikuti langkah-langkah ini hanya jika Anda mengonfigurasi instance Cloud SQL untuk PostgreSQL.

  1. Ikuti petunjuk untuk menambahkan akun layanan IAM ke database dalam dokumentasi Cloud SQL untuk PostgreSQL.

    Akun layanan yang Anda berikan harus berupa agen layanan yang terkait dengan konfigurasi pemindaian. Untuk mendapatkan ID agen layanan, lihat Mendapatkan ID agen layanan di halaman ini.

  2. Di PostgreSQL, berikan peran pg_read_all_data ke agen layanan:

    GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
    

    Ganti TRUNCATED_SERVICE_AGENT_ID dengan ID agen layanan tanpa akhiran .gserviceaccount.com—misalnya, service-1234567890@dlp-api.iam.

    Outputnya mirip dengan hal berikut ini:

    GRANT ROLE

Memberikan akses ke instance Cloud SQL

Setelah Anda membuat konfigurasi pemindaian, Perlindungan Data Sensitif akan otomatis membuat koneksi layanan default untuk setiap instance dalam cakupan penemuan. Sebelum pembuatan profil dapat dimulai, Anda perlu mengedit setiap koneksi layanan untuk memberikan kredensial untuk setiap instance Cloud SQL.

Untuk memperbarui koneksi, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Koneksi layanan.

    Buka Koneksi layanan

    Koneksi Anda akan ditampilkan dalam daftar.

  2. Untuk koneksi yang ingin diperbarui, klik Tindakan > Edit koneksi.

  3. Lakukan salah satu hal berikut:

Setelah Anda memperbarui koneksi, Perlindungan Data Sensitif akan mencoba terhubung ke instance dengan kredensial yang Anda berikan. Jika terjadi error pada koneksi, Perlindungan Data Sensitif akan otomatis mencoba lagi untuk terhubung ke instance. Untuk informasi selengkapnya, lihat Melihat error koneksi di halaman ini.

Memberikan kredensial akun pengguna

Masukkan nama pengguna dan resource Secret Manager yang berisi sandi. Resource Secret Manager harus dalam format berikut:

projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER

Ganti kode berikut:

  • PROJECT_NUMBER: ID numerik project Anda.
  • SECRET_NAME: nama secret yang berisi sandi.
  • VERSION_NUMBER: nomor versi secret; untuk memberikan versi terbaru, gunakan latest.

Menggunakan agen layanan sebagai akun pengguna

Opsi ini hanya tersedia untuk instance Cloud SQL untuk PostgreSQL.

Untuk menggunakan agen layanan sebagai akun pengguna, pilih Autentikasi database IAM Cloud SQL.

Memperbarui jumlah maksimum koneksi serentak ke instance

Secara default, Perlindungan Data Sensitif menggunakan maksimal dua koneksi serentak untuk meminimalkan dampak penemuan pada instance Cloud SQL Anda. Sebaiknya tingkatkan jumlah ini ke nilai yang sesuai berdasarkan ukuran dan penggunaan instance.

Untuk mengetahui informasi selengkapnya, lihat Koneksi serentak maksimum dalam dokumentasi Cloud SQL.

Untuk mengubah batas koneksi maksimum layanan penemuan, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Koneksi layanan.

    Buka Koneksi layanan

    Koneksi Anda akan ditampilkan dalam daftar.

  2. Untuk koneksi yang ingin diperbarui, klik Tindakan > Edit koneksi.

  3. Di kolom Jumlah maksimum koneksi, masukkan batas baru.

  4. Klik Done.

Melihat error koneksi

  1. Di konsol Google Cloud, buka halaman Koneksi layanan.

    Buka Koneksi layanan

    Koneksi Anda tercantum. Jika terjadi error, koneksi akan ditampilkan dengan ikon error.

  2. Untuk koneksi yang mengalami error, klik Tindakan > Lihat error. Pesan error terkait akan dicantumkan. Setiap pesan menyertakan nama konfigurasi pemindaian yang meminta koneksi.

  3. Perbaiki error sesuai kebutuhan. Bergantung pada error-nya, penyelesaian dapat melibatkan salah satu hal berikut:

    • Mengedit kredensial yang Anda berikan.
    • Memperbarui sandi yang disimpan di Secret Manager.
    • Login ke database dan memberikan hak istimewa yang diperlukan kepada pengguna database.
    • Menetapkan peran IAM yang ditentukan ke agen layanan yang terkait dengan konfigurasi pemindaian yang ditentukan.

Perlindungan Data Sensitif akan otomatis mencoba lagi untuk terhubung ke instance. Jika upaya penyambungan ulang berhasil, pesan error akan dihapus.

Mengizinkan penemuan untuk instance tanpa alamat IP publik

Untuk menjalankan penemuan di instance Cloud SQL yang tidak memiliki alamat IP publik, pilih opsi Enable private path untuk instance tersebut. Opsi ini memungkinkan layanan Google Cloud mengakses data di instance Cloud SQL melalui koneksi IP pribadi.

Untuk informasi selengkapnya, lihat referensi berikut:

Langkah selanjutnya