Halaman ini menjelaskan cara menggunakan koneksi yang dibuat oleh Perlindungan Data Sensitif saat Anda mengonfigurasi penemuan untuk Cloud SQL.
Mendapatkan ID agen layanan
Untuk melakukan prosedur di halaman ini, Anda memerlukan ID agen layanan yang terkait dengan konfigurasi pemindaian. Untuk mendapatkan ID agen layanan, ikuti langkah-langkah berikut:
Buka daftar konfigurasi pemindaian penemuan.
- Pilih konfigurasi pemindaian Anda.
- Di halaman detail yang terbuka, salin ID agen layanan. ID ini menggunakan format alamat email.
Memberikan peran IAM yang diperlukan ke agen layanan Anda
Pastikan agen layanan yang terkait dengan konfigurasi pemindaian Anda memiliki peran driver yang diperlukan:
- Jika cakupan operasi penemuan Anda adalah seluruh organisasi atau
folder, pastikan agen layanan memiliki peran DLP Organization Data
Profiles Driver (
roles/dlp.orgdriver
). - Jika cakupan operasi penemuan Anda adalah satu project, pastikan
agen layanan memiliki peran DLP Project Data Profiles Driver
(
roles/dlp.projectdriver
).
- Jika cakupan operasi penemuan Anda adalah seluruh organisasi atau
folder, pastikan agen layanan memiliki peran DLP Organization Data
Profiles Driver (
Berikan peran Secret Manager Secret Accessor (
roles/secretmanager.secretAccessor
) kepada agen layanan.
Untuk mendapatkan ID agen layanan, lihat Mendapatkan ID agen layanan di halaman ini.
Untuk mengetahui informasi selengkapnya, lihat Memberikan peran kepada agen layanan dalam dokumentasi Identity and Access Management.
Membuat pengguna untuk setiap instance Cloud SQL
Untuk setiap instance yang termasuk dalam cakupan penemuan, buat akun pengguna yang memiliki hak istimewa yang diperlukan untuk membuat profil data Anda.
Anda dapat menggunakan akun pengguna yang ada, tetapi Anda harus memastikan bahwa akun tersebut memiliki hak istimewa yang tercantum di bagian ini.
Membuat pengguna untuk instance Cloud SQL untuk MySQL
Bagian ini menjelaskan cara membuat akun pengguna MySQL untuk digunakan dengan pembuatan profil data. Baik Anda membuat akun pengguna atau menggunakan kembali akun yang ada, akun tersebut harus memiliki plugin autentikasi mysql_native_password
.
Bagian ini mencakup informasi tentang cara mengubah akun pengguna database yang ada untuk menggunakan plugin autentikasi ini.
- Terhubung ke instance.
Siapkan akun pengguna database.
Jika Anda ingin membuat pengguna database, pada prompt
mysql
, jalankan perintah berikut:CREATE USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Ganti kode berikut:
USERNAME
: nama pengguna akun penggunaPASSWORD
: sandi akun pengguna
Untuk informasi selengkapnya, lihat Pernyataan CREATE USER dalam dokumentasi MySQL.
Jika Anda ingin menggunakan akun pengguna database yang ada dan tidak menggunakan plugin autentikasi
mysql_native_password
, gunakan perintahALTER USER
untuk mengubah plugin autentikasi akun tersebut:ALTER USER 'USERNAME'@'%' IDENTIFIED WITH mysql_native_password BY 'PASSWORD';
Untuk mengetahui informasi selengkapnya, lihat Pernyataan ALTER USER dalam dokumentasi MySQL.
Berikan hak istimewa
SELECT
danSHOW VIEW
kepada pengguna.GRANT SELECT, SHOW VIEW ON *.* TO 'USERNAME'@'%';
Outputnya mirip dengan hal berikut ini:
Query OK, 0 rows affected (0.00 sec)
Untuk mengetahui informasi selengkapnya, lihat Pernyataan GRANT dalam dokumentasi MySQL.
Opsional: Jika Anda ingin
performance_schema.log_status
dibuat profilnya, berikan hak istimewaBACKUP_ADMIN
kepada pengguna. Untuk informasi selengkapnya, lihat Skema Performa MySQL dalam dokumentasi MySQL.GRANT BACKUP_ADMIN ON *.* TO 'USERNAME'@'%';
Di Secret Manager, buat secret untuk menyimpan sandi. Buat secret di project yang berisi instance Cloud SQL.
Catat nama resource secret.
Membuat pengguna untuk instance Cloud SQL untuk PostgreSQL
Untuk instance Cloud SQL untuk PostgreSQL, Perlindungan Data Sensitif mendukung dua jenis akun pengguna:
- Akun pengguna bawaan yang dibuat melalui PostgreSQL.
- Akun utama IAM, khususnya, agen layanan yang terkait dengan konfigurasi pemindaian Anda.
Opsi 1: Membuat akun pengguna bawaan di PostgreSQL
Bagian ini menjelaskan cara membuat akun pengguna bawaan melalui PostgreSQL.
- Terhubung ke instance.
Pada prompt
postgres
, jalankan perintah berikut untuk membuat pengguna:CREATE USER USERNAME WITH PASSWORD 'PASSWORD';
Ganti kode berikut:
USERNAME
: nama pengguna akun penggunaPASSWORD
: sandi akun pengguna
Outputnya mirip dengan hal berikut ini:
CREATE ROLE
Untuk informasi selengkapnya, lihat CREATE USER dalam dokumentasi PostgreSQL.
Berikan peran
pg_read_all_data
kepada pengguna:GRANT pg_read_all_data TO USERNAME;
Outputnya mirip dengan hal berikut ini:
GRANT ROLE
Untuk informasi selengkapnya, lihat GRANT dalam dokumentasi PostgreSQL.
Di Secret Manager, buat secret untuk menyimpan sandi. Buat secret di project yang berisi instance Cloud SQL.
Catat nama resource secret.
Opsi 2: Tambahkan agen layanan sebagai pengguna di instance (khusus PostgreSQL)
Ikuti langkah-langkah ini hanya jika Anda mengonfigurasi instance Cloud SQL untuk PostgreSQL.
Ikuti petunjuk untuk menambahkan akun layanan IAM ke database dalam dokumentasi Cloud SQL untuk PostgreSQL.
Akun layanan yang Anda berikan harus berupa agen layanan yang terkait dengan konfigurasi pemindaian. Untuk mendapatkan ID agen layanan, lihat Mendapatkan ID agen layanan di halaman ini.
Di PostgreSQL, berikan peran
pg_read_all_data
ke agen layanan:GRANT pg_read_all_data TO "TRUNCATED_SERVICE_AGENT_ID";
Ganti
TRUNCATED_SERVICE_AGENT_ID
dengan ID agen layanan tanpa akhiran.gserviceaccount.com
—misalnya,service-1234567890@dlp-api.iam
.Outputnya mirip dengan hal berikut ini:
GRANT ROLE
Memberikan akses ke instance Cloud SQL
Setelah Anda membuat konfigurasi pemindaian, Perlindungan Data Sensitif akan otomatis membuat koneksi layanan default untuk setiap instance dalam cakupan penemuan. Sebelum pembuatan profil dapat dimulai, Anda perlu mengedit setiap koneksi layanan untuk memberikan kredensial untuk setiap instance Cloud SQL.
Untuk memperbarui koneksi, ikuti langkah-langkah berikut:
Di konsol Google Cloud, buka halaman Koneksi layanan.
Koneksi Anda akan ditampilkan dalam daftar.
Untuk koneksi yang ingin diperbarui, klik > Edit koneksi.
TindakanLakukan salah satu hal berikut:
- Memberikan kredensial akun pengguna
- Menggunakan agen layanan sebagai akun pengguna (hanya didukung untuk instance Cloud SQL untuk PostgreSQL)
Setelah Anda memperbarui koneksi, Perlindungan Data Sensitif akan mencoba terhubung ke instance dengan kredensial yang Anda berikan. Jika terjadi error pada koneksi, Perlindungan Data Sensitif akan otomatis mencoba lagi untuk terhubung ke instance. Untuk informasi selengkapnya, lihat Melihat error koneksi di halaman ini.
Memberikan kredensial akun pengguna
Masukkan nama pengguna dan resource Secret Manager yang berisi sandi. Resource Secret Manager harus dalam format berikut:
projects/PROJECT_NUMBER/secrets/SECRET_NAME/versions/VERSION_NUMBER
Ganti kode berikut:
PROJECT_NUMBER
: ID numerik project Anda.SECRET_NAME
: nama secret yang berisi sandi.VERSION_NUMBER
: nomor versi secret; untuk memberikan versi terbaru, gunakanlatest
.
Menggunakan agen layanan sebagai akun pengguna
Opsi ini hanya tersedia untuk instance Cloud SQL untuk PostgreSQL.
Untuk menggunakan agen layanan sebagai akun pengguna, pilih Autentikasi database IAM Cloud SQL.
Memperbarui jumlah maksimum koneksi serentak ke instance
Secara default, Perlindungan Data Sensitif menggunakan maksimal dua koneksi serentak untuk meminimalkan dampak penemuan pada instance Cloud SQL Anda. Sebaiknya tingkatkan jumlah ini ke nilai yang sesuai berdasarkan ukuran dan penggunaan instance.
Untuk mengetahui informasi selengkapnya, lihat Koneksi serentak maksimum dalam dokumentasi Cloud SQL.
Untuk mengubah batas koneksi maksimum layanan penemuan, lakukan hal berikut:
Di konsol Google Cloud, buka halaman Koneksi layanan.
Koneksi Anda akan ditampilkan dalam daftar.
Untuk koneksi yang ingin diperbarui, klik > Edit koneksi.
TindakanDi kolom Jumlah maksimum koneksi, masukkan batas baru.
Klik Done.
Melihat error koneksi
Di konsol Google Cloud, buka halaman Koneksi layanan.
Koneksi Anda tercantum. Jika terjadi error, koneksi akan ditampilkan dengan ikon error.
Untuk koneksi yang mengalami error, klik > Lihat error. Pesan error terkait akan dicantumkan. Setiap pesan menyertakan nama konfigurasi pemindaian yang meminta koneksi.
TindakanPerbaiki error sesuai kebutuhan. Bergantung pada error-nya, penyelesaian dapat melibatkan salah satu hal berikut:
- Mengedit kredensial yang Anda berikan.
- Memperbarui sandi yang disimpan di Secret Manager.
- Login ke database dan memberikan hak istimewa yang diperlukan kepada pengguna database.
- Menetapkan peran IAM yang ditentukan ke agen layanan yang terkait dengan konfigurasi pemindaian yang ditentukan.
Perlindungan Data Sensitif akan otomatis mencoba lagi untuk terhubung ke instance. Jika upaya penyambungan ulang berhasil, pesan error akan dihapus.
Mengizinkan penemuan untuk instance tanpa alamat IP publik
Untuk menjalankan penemuan di instance Cloud SQL yang tidak memiliki alamat IP publik, pilih opsi Enable private path untuk instance tersebut. Opsi ini memungkinkan layanan Google Cloud mengakses data di instance Cloud SQL melalui koneksi IP pribadi.
Untuk informasi selengkapnya, lihat referensi berikut:
- Cloud SQL untuk MySQL: Mengonfigurasi IP pribadi untuk instance yang ada
- Cloud SQL untuk PostgreSQL: Mengonfigurasi IP pribadi untuk instance yang ada
Langkah selanjutnya
- Pelajari cara mengelola profil data.